Firefox menuduh saya mendistribusikan malware di situs saya

45

Saya perhatikan bahwa Firefox telah memutuskan untuk memblokir beberapa pemasang EXE dari situs saya, memperlihatkan label Diblokir: Dapat berisi virus atau spyware . Saya klik kanan file tersebut, pilih Buka blokir , dan pesan ini ditampilkan dengan opsi Buka Blokir pula dan Simpan saya Aman :

File tersebut mengandung virus atau malware lain yang akan membahayakan komputer Anda. Anda dapat mencari sumber unduhan alternatif atau melanjutkan.

Perhatikan bahwa dialog tidak mengatakan boleh ; dikatakan akan merusak komputer Anda.

Atas dasar apa peringatan ini diperlihatkan?

Tidak ada yang tahu pasti penyedia mana yang digunakan Chrome dan Firefox untuk daftar positif palsu yang luas. Ada yang mengatakan bahwa situs stopbadware.org bertanggung jawab, tetapi saya tidak begitu yakin.

Mohon saran tentang bagaimana melanjutkan untuk mengembalikan apa yang tersisa dari situs saya dan reputasi perangkat lunak dengan cara yang segera efektif, sebelum terlambat. Terima kasih.

Bagi mereka yang bertanya tentang situs dan perangkat lunak, ini adalah ini: http://www.andreszsogon.com/grf-wizard/

Perangkat lunaknya adalah milikku. Ini adalah GUI sederhana untuk alat baris perintah; Saya mengembangkannya dengan VB6, mengkompresi EXE aplikasi dengan kompresor UPX, membangun installer dengan Inno Setup, kemudian mengunggahnya melalui FTP. Saya mengundang Anda untuk menginstalnya, menguji dan memindai semua yang Anda inginkan.

google-chrome firefox malware andreszs
sumber
35
Bagaimana Anda tahu bahwa exe Anda tidak mengandung virus? Mungkin komputer Anda memiliki virus yang menginfeksi kompiler yang Anda gunakan dan sekarang kompiler memasukkan virus ke semua ongkos yang Anda coba kompilasi? Atau, jika situs web Anda tidak menggunakan HTTPS, seorang pria di tengah (mis. ISP Anda) mungkin memasukkan virus ke dalam exe Anda.
7
Apa situs Anda Sudahkah Anda memeriksa EXE di situs Anda terhadap VirusTotal atau sumber lainnya? Bagaimana Anda tahu Firefox salah?
DW
4
ativirus-test-suite online ini mengatakan bahwa executable Anda terinfeksi: metascan-online.com/en/scanresult/file/…
Lesto
25
Pertanyaan Anda sangat kasar. Ini bukan tempat yang tepat untuk melampiaskan frustrasi Anda. Proses mengidentifikasi malware tidak bersifat deterministik; akan selalu ada positif dan negatif palsu. Anda memang memiliki pertanyaan yang sah, di sini; pada dasarnya, "Bagaimana cara kerja identifikasi malware dan apa yang dapat saya lakukan tentang false positive?" Kami semua akan menghargainya jika Anda dapat menghapus konten pribadi dan emosional dan membawanya ke presentasi yang baik dari pertanyaan sebenarnya.
jpmc26
6
Anda menjalankan Wordpress versi 3.8.1 dan mengklaim situs Anda aman? Saya akan sangat menyarankan beberapa pembaruan ... Anda jauh dari aman.

Jawaban:

76

Sebelum terlalu terjebak dalam kemarahan Anda terhadap Firefox dan Google Safe Browsing, langkah pertama adalah mencari tahu apakah Google Safe Browsing benar. Bukan hal yang aneh bagi situs untuk mendistribusikan file executable yang mengandung malware atau virus, tanpa sadar mereka melakukannya. Seringkali, Penjelajahan Aman Google benar dan pengelola situs tidak mengetahui situasinya - terkadang situs mereka diretas, atau terkadang seseorang mengunggah beberapa file yang terinfeksi virus tanpa menyadarinya.

Jadi, mulailah dengan memperhatikan situs Anda untuk melihat apakah ada unduhan Anda yang bermasalah. Anda dapat mulai dengan membaca Bantuan Webmaster dari stopbadware.org dan bantuan Webmaster Google untuk situs yang diretas . Lalu, ada beberapa langkah umum yang harus Anda ambil:

  1. Periksa apakah ada malware di situs Anda. Anda perlu memindai situs Anda dengan cermat untuk memeriksa apakah ada unduhan file yang berbahaya atau mengandung virus / malware. Anda dapat mulai dengan menggunakan Alat Webmaster Google untuk memeriksa file buruk apa yang terdeteksi oleh Google. Anda juga harus melihat halaman diagnostik terperinci dari Google Safe Browsing dan melihat dengan seksama pada halaman dan file spesifik yang terdaftar di sana. Anda dapat melihat halaman diagnostik di sini untuk melihat halaman mana yang secara khusus memicu listing. Saya juga menyarankan agar Anda mengunggah masing-masing EXE yang Anda sediakan di situs Anda ke VirusTotal dan memeriksanya apakah ada virus.

  2. Periksa apakah situs Anda memiliki lubang keamanan atau telah diretas. Seringkali, yang terjadi adalah peretas menemukan situs yang memiliki beberapa lubang keamanan, kompromi situs, dan memodifikasinya untuk memasukkan malware ke situs. Yang pertama diketahui oleh administrator situs adalah ketika mereka terdaftar di Google Safe Browsing. Jadi, Anda harus memeriksa dengan seksama apakah ini terjadi pada Anda. Berikut adalah beberapa layanan gratis yang akan memindai situs web Anda untuk Anda:

    Jika Anda menemukan kelemahan keamanan, bawa situs Anda offline dan perbaiki. Jika Anda menemukan bahwa situs Anda telah disusupi, kemungkinan Anda harus menghapus situs tersebut dan memuat kembali semuanya dari cadangan yang dikenal baik. Lihat https://www.stopbadware.org/hacked-sites-resources untuk sumber daya lebih lanjut.

  3. Lindungi situs Anda dari peretasan. Saya sarankan Anda meninjau keamanan situs Anda dan memastikan itu terlindungi dengan baik dari peretasan, untuk mencegah seseorang masuk dan memodifikasinya untuk melayani malware. Lihat, misalnya, https://www.stopbadware.org/prevent-badware-basics untuk beberapa latar belakang. Pastikan juga perangkat lunak situs Anda diperbarui sepenuhnya.

Ketika saya menggunakan alat-alat ini, inilah yang saya temukan:

  • Sucuri mengatakan Anda menjalankan WordPress versi lama (pra-4.2). Sepertinya Anda menjalankan Wordpress 3.8.1; 4.2.2 adalah versi saat ini. Hal ini memungkinkan situs Anda rentan dan dapat disusupi: ada beberapa kerentanan yang diketahui di Wordpress 3.8.1. Anda harus memastikan untuk selalu menjalankan versi perangkat lunak terbaru. Ketika Anda gagal untuk tetap up-to-date, itu menciptakan peluang bagi penyerang untuk kompromi situs Anda dan menggunakannya untuk meng-host malware. Jadi, tingkatkan WordPress.

  • Google Safe Browsing mengatakan bahwa situs Anda menampung malware ketika Google mengunjungi pada 2015-05-10: "1 halaman mengakibatkan perangkat lunak berbahaya diunduh dan diinstal tanpa persetujuan pengguna". Tampaknya tidak ada malware yang ditemukan pada kunjungan terakhir, 2015-05-25, jadi sepertinya di beberapa titik di masa lalu, situs Anda hosting malware, tetapi tidak lagi.

    Tidak jelas apa halaman yang bermasalah itu. Laporan untuk www.andreszsogon.com/grf-wizard mengatakan tidak ada halaman berbahaya yang ditemukan di bawah /grf-wizard. Jadi, Anda dapat menyimpulkan bahwa halaman yang bermasalah pasti ada halaman lain di bawah www.andreszsogon.com- tetapi itu bukan apa-apa di bawah /grf-wizard. Saya mencoba bermain-main dengan antarmuka daring Google Safe Browsing, tetapi saya tidak dapat mempersempit halaman mana yang menyebabkan situs Anda tercantum dalam sistem mereka.

DW
sumber
3
Semua tes berjalan, Alat Webmaster diperiksa. Harap ingat saya bukan hanya pengguna biasa yang tidak tahu cara menginstal AV atau memperbaruinya; Saya telah mengembangkan perangkat lunak dan aplikasi web selama 15 tahun sekarang. Situs ini aman, semua perangkat lunak BERSIH.
Tanda tangan / sertifikat seperti apa yang mungkin ditandatangani sendiri? Juga apa yang dimainkan oleh kompresi, beberapa tipe kompresi lebih cenderung ditandai sebagai rapuh
78
@ Andrew Jujur, jika Anda memiliki pengalaman yang Anda klaim Anda miliki, Anda akan tahu bahwa pernyataan seperti "Situs ini aman" sama sekali tidak mungkin dibuat. Misalnya: Anda menjalankan wordpress, selama bertahun-tahun telah ada banyak eksploitasi nol hari terhadap instalasi wordpress. Selain itu, Anda juga menjalankan iklan Google Adsense dan tampaknya menggunakan setidaknya satu plugin Wordpress pihak ketiga. Semua menganggap Anda mungkin baik-baik saja, tetapi menyatakan bahwa Anda tahu bahwa suatu fakta hanyalah tanda bahwa Anda tidak tahu apa yang Anda bicarakan. Either way, (lanjutan)
David Mulder
21
Penjelajahan Google Safe kadang-kadang memberikan hasil positif yang benar-benar aneh dan dalam pengalaman saya, mereka diperbaiki dengan cepat juga, jadi semoga sukses dengan ini. Semua yang dianggap sebagai proyek penjelajahan Aman Google telah menyelamatkan saya lebih banyak masalah daripada yang harus saya bayar, tetapi itu bisa sangat menjengkelkan dari waktu ke waktu.
David Mulder
10
@Andrew UPX adalah paket yang paling umum digunakan untuk mengemas malware, jadi jika Anda juga mengemas unduhan Anda dengan UPX, Anda akan mematikan alarm.
Michael Hampton
32

Sumber Baru-baru ini mulai menghapus unduhan yang mengklaim 'virus atau spyware'.

"Dua hari terakhir, beberapa unduhan sudah mulai dihapus dengan mengatakan bahwa 'Blocked: mungkin berisi pesan kesalahan virus atau spyware', di jendela unduhan. "

...

Firefox menggunakan data dari proyek "Penjelajahan Aman" Google untuk menilai reputasi situs web dan unduhan. Google sangat sering mengubah data yang disediakannya, misalnya, mungkin menandai program yang mungkin tidak diinginkan sebagai tambahan terhadap malware yang sebenarnya.

Untuk masa depan, pengembang mempertimbangkan opsi untuk mengganti blok dan mendapatkan file. Mungkin paling tidak beberapa bulan sebelum itu muncul karena perubahan yang sensitif terhadap keamanan membutuhkan waktu untuk merancang.

Untuk saat ini, jika Anda berpikir blok file ini "false positive" dan bahwa file-file itu sebenarnya aman, Anda bisa melakukan salah satu dari yang berikut:

(1) Unduh file menggunakan browser yang berbeda (ya)

(2) Unduh file menggunakan add-on pengunduh yang melewati pemeriksaan keamanan ini. Saya mendengar tentang ini di utas lain tetapi belum mencobanya sendiri (dan juga, saya tidak tahu add-on mana yang bisa dipercaya untuk ini!).

(3) Nonaktifkan fitur Penjelajahan Aman sementara untuk mendapatkan file, lalu hidupkan kembali. Ada kotak centang di dialog Opsi:

Tombol menu "3-bar" (atau menu Alat)> Opsi> Tingkat Lanjut

Pada tab Keamanan, kotak centang "Blok situs serangan dilaporkan". Kotak centang lain terkait dengan situs phishing dan saya pikir itu tidak mempengaruhi unduhan.

Sumber Bagaimana cara kerja Phishing dan Malware Protection bawaan?

Firefox berisi Phishing dan Malware Protection bawaan untuk membantu Anda tetap aman saat online. Fitur-fitur ini akan memperingatkan Anda ketika halaman yang Anda kunjungi telah dilaporkan sebagai Pemalsuan Web dari situs yang sah (kadang-kadang disebut halaman "phishing") atau sebagai Situs Serangan yang dirancang untuk membahayakan komputer Anda (atau dikenal sebagai malware). Fitur ini juga memperingatkan Anda jika Anda mengunduh file yang terdeteksi sebagai malware.

...

"Saya sudah mengkonfirmasi bahwa situs saya aman, bagaimana cara menghapusnya dari daftar?"

Jika Anda memiliki situs yang diserang dan sejak itu Anda telah memperbaikinya, atau jika Anda merasa bahwa situs Anda dilaporkan karena kesalahan, Anda dapat meminta agar situs itu dihapus dari daftar. Namun, kami mendorong pemilik situs untuk menyelidiki laporan semacam itu secara menyeluruh; suatu situs seringkali dapat diubah menjadi situs serangan tanpa ada perubahan yang terlihat.

  • Untuk meminta penghapusan dari daftar situs phishing yang dilaporkan, gunakan formulir ini yang disediakan oleh Google.
  • Untuk meminta penghapusan dari daftar situs malware yang dilaporkan, gunakan yang ini , disediakan oleh stopbadware.org.
DavidPostill
sumber
1
Terima kasih, saya akan mencoba formulir itu. Harap perhatikan bahwa menonaktifkan filter, atau menggunakan browser lain (?) Bukan solusi, dan saya tidak bisa memaksa pengguna untuk menggunakan browser ini atau itu karena mereka salah menuduh file saya yang benar-benar bersih. Satu-satunya solusi yang mungkin adalah positif palsu dihapus dari basis data penyedia.
7
@Andrew, saya juga merekomendasikan Anda untuk mengirim file ke virustotal . Anda mungkin akan mengetahui bahwa beberapa vendor mendeteksi program Anda sebagai malware (tanda tangan generik, mungkin).
Ángel
19
@Andrew Sangat disayangkan bahwa Anda tidak hanya mengirim kata-kata kasar, tetapi juga menolak untuk menerima jawaban atas pertanyaan inti di dalamnya. Situs ini pada akhirnya adalah gudang pengetahuan untuk pengguna lain, bukan meja bantuan pribadi Anda.
Saya menemukan bahwa GWT menunjukkan masalah ini pada bagian terpisah yang disebut "Masalah keamanan", dan URL diberi label "Malware tidak ditentukan". Saya mengunggah ulang penginstal tanpa menggunakan UPX untuk EXE utama, dan dengan hormat meminta ulasan untuk memperbaiki masalah ini, terima kasih.
2
Andrew, jika penginstal lulus uji malware dengan UPX dihapus, harap ingat untuk menerima jawaban saya.
19

Saya harus menghentikan penggunaan UPX dengan perangkat lunak saya sendiri karena banyak pemindai virus menganggap penggunaan paket sebagai bukti kesalahan. Anda mungkin mencoba memposting versi unduhan yang belum dikemas dan melihat apakah peringatannya hilang.

Erik Knowles
sumber
1
apakah jawabannya? ini harus diposting dalam komentar.
2
Bahkan, Avast mendeteksi UPX.exe sebagai "ancaman". Tetapi file yang dikompres dengannya, dianggap "bersih". Saya telah mengunggah pemasang baru dengan EXE non-kompresi sekarang, untuk berjaga-jaga.
15
Francisco: Mengapa saya harus memposting ini sebagai komentar? Itu jelas dimaksudkan sebagai jawaban untuk pertanyaan OP.
6
@FranciscoTapia Ini jelas merupakan jawaban, dan kemungkinan jawaban yang tepat.
Brad
1
Pertanyaan bagus di sini, meskipun benar-benar di luar topik, mengapa menggunakan UPX atau pengemas EXE lainnya hari ini, pada 2015, dengan kecepatan unduhan hari ini? Saya tidak percaya, bahwa mengemas EXE untuk mengurangi ukurannya (jika tidak ada lagi argumen untuk melakukannya) dapat menguntungkan siapa saja, terutama dengan memperhitungkan semua masalah yang terjadi (yang dinyatakan di sini dalam banyak hal) yang mungkin dimiliki seseorang. ketika melakukannya.
trejder
12

Saya melakukan sumber tampilan pada halaman yang Anda tautkan, dan well, itu menimbulkan pertanyaan: Apakah Anda yang menambahkan tag skrip berikut ke situs Anda? Atau apakah seseorang berhasil menyelinap ke wordpress Anda?

<script type='text/javascript' src='http://www.andreszsogon.com/wp-content/themes/contango/lib/js/superfish/superfish-combine.min.js?ver=1.5.9'></script>

Karena saya lebih suka curiga bahwa memasukkan sesuatu dari superfish akan membuat Anda diblokir oleh database Google Safe Search. Hampir tidak perlu dikatakan bahwa ikan super memiliki reputasi yang sangat buruk . Lagi pula, lihat apa yang terjadi pada Lenovo untuk memasukkan perangkat lunak superfish pada notebook mereka menjelang akhir tahun lalu. Mereka mengambil hit PR BESAR.

Juga, karena perangkat lunak AV sangat sering tidak dapat / tidak akan menemukan banyak jika ada file yang mengandung php jahat. Saya akan sangat menyarankan secara manual (baik dengan windows menemukan atau * nix grep mana pun kasusnya untuk platform situs Anda berjalan) mencari melalui seluruh instalasi wordpress Anda untuk file yang bukan milik dan TERUTAMA setiap file yang berisi kode php yang memiliki eval () dan / atau base64_decode () di dalamnya, khususnya bersarang! Jika Anda menemukan sesuatu yang tidak jelas bagian dari sistem dan diharapkan, maka Anda harus segera memulai instalasi baru wordpress dan memindahkan direktori wp-content Anda ke dalamnya, asalkan tidak ada file buruk di sana juga. Dalam hal ini, Anda sebaiknya memulai situs dari awal. Untungnya itu cukup mudah dengan situs wordpress.

Mce128
sumber
15
Itu bisa saja plugin jQuery Superfish ini , yang tampaknya dinamai demikian.
IMSoP
2
Perlu dicatat tentu saja, bahwa itu bisa sesederhana plugin Superfish jQuery menghasilkan false positive karena kesamaan nama dengan Superfish lainnya. Jika manusia kesulitan membedakannya, tidak terlalu mengejutkan bahwa komputer mungkin juga mengalami kesulitan.
aslum
Terima kasih atas sarannya, seperti kata pengguna lain, skrip itu adalah bagian sederhana pembungkus JS dari tema Contango. Juga, jika masalahnya ada pada instalasi WordPress, pasti semua file akan diblokir, dan bukan hanya satu atau dua.
2
@ Andrew Ya, tentu saja, jika itu sebenarnya bagian dari template / tema, maka itu bukan masalah karena itu akan menjadi situs-lebar itu. Saya kira mungkin, saya harus melihat sebentar di sekitar situs dan melihat apakah itu ada di semua halaman. Seringkali, dalam pengalaman saya ketika kuda-kuda ini dikompromikan, seringkali hal-hal aneh disuntikkan ke dalam satu halaman. Jelas, saya melompati pistol di sana. Terutama karena saya tidak mengetahui plugin jQuery yang berbagi nama dengan perangkat lunak berbahaya itu. Saya bertanya-tanya apakah mungkin itu adalah installer rouge atau sesuatu jika Anda bukan orang yang menambahkannya.
1
Meskipun, saya masih sangat menyarankan memeriksa apa yang saya jelaskan di paragraf terakhir saya. Sayangnya, saya melihat hal-hal semacam itu sangat sering ketika saya mendapat telepon dari klien yang memiliki situs wordpress yang telah dikompromikan. Ini adalah pola yang agak umum di dalam file situs. Bahkan, sebagian besar waktu, saya bahkan tidak akan menemukan file sistem apa pun yang telah diubah atau hanya segelintir kecil dari mana saja dari beberapa file jahat asing yang bertebaran hingga ribuan! Nama-nama file dalam kasus-kasus itu biasanya mencoba menjadi bagian dari sistem atau mereka menghasilkan nama-nama omong kosong.
8

... mengompresi EXE aplikasi dengan kompresor UPX ...

~ 10 tahun yang lalu, UPX umumnya digunakan oleh virus untuk membuatnya lebih sulit untuk dideteksi dan direkayasa ulang. Bahkan, sudah menjadi sangat umum sehingga banyak antivirus sekarang menganggap program yang dikemas UPX sebagai ancaman secara default. Ini hampir pasti masalah Anda.

Anda benar-benar hanya memiliki dua opsi:

  • Gunakan VirusTotal untuk menentukan situs mana yang percaya perangkat lunak Anda adalah malware, dan kirimkan program Anda ke perusahaan tersebut sebagai false-positive.
  • Gunakan metode lain untuk mengompres perangkat lunak Anda. Alternatif yang baik adalah self-extractable executable , yang seharusnya melakukan pekerjaan yang lebih baik dalam mengompresi perangkat lunak Anda, tanpa kebingungan yang mencurigakan.
BlueRaja - Danny Pflughoeft
sumber
1
Terima kasih, itu sangat berguna. Sebenarnya AV saya mendeteksi kompresor UPX sebagai semacam "ancaman", yang sangat menjengkelkan. Saya akan menyingkirkannya dari semua versi selanjutnya.
andreszs
4

Saya menjalankan situs web penggila perangkat lunak berusia 20 tahun, dan saya juga mengalami masalah Anda. Ini adalah situs yang memiliki masa jayanya sekitar tahun 2000 dan sekarang berfungsi sebagai arsip. Sekitar 3 kali setiap tahun, Google Safe Browsing mengidentifikasi bagian baru dari "malware", biasanya ditulis dan diunggah sekitar tahun 1999 hingga 2002. Tidak masalah bahwa selalu ada di sana. Sudahlah tidak ada yang menyentuhnya selama lebih dari satu dekade. Memindai file ini dengan virustotal pasti menunjukkan bahwa ada virus, tetapi tidak pernah oleh perangkat lunak virus populer seperti Symantec atau yang lain, selalu yang belum pernah Anda dengar sebelumnya - sekali, salah satu pemindai virusnya bahkan menunjukkan ada virus pada file teks 530 byte.

Jadi apa solusinya? Karena Google Penjelajahan Aman adalah juri, juri, dan algojo, Anda memiliki 3 opsi:

  1. Hapus file dan lakukan hal lain dengan hidup Anda (disarankan untuk kewarasan)

  2. Ubah konten file secara radikal (biasanya, jika setelah perubahan virustotal tidak mengambilnya, Anda dapat melanjutkan)

  3. Letakkan unduhan file di belakang login

Secara pribadi, saya tidak akan terlalu peduli, saya merasa sedih ketika saya harus menghapus perangkat lunak yang tidak dapat ditemukan di tempat lain.

TheRipper
sumber