Firefox beschuldigt mich, Malware auf meiner Website verbreitet zu haben

45

Ich habe festgestellt, dass Firefox beschlossen hat, einige EXE-Installationsprogramme von meiner Website zu blockieren. Dabei wird die Bezeichnung Blockiert angezeigt: Kann Viren oder Spyware enthalten . Ich klicke mit der rechten Maustaste auf die Datei, wähle " Entsperren" und diese Meldung wird mit den Optionen " Trotzdem entsperren" und " Mich sicher halten" angezeigt :

Die Datei enthält einen Virus oder eine andere Malware, die Ihrem Computer Schaden zufügt. Sie können nach einer alternativen Downloadquelle suchen oder trotzdem fortfahren.

Beachten Sie, dass der Dialog nicht sagen darf ; Es heißt , Ihr Computer wird Schaden nehmen .

Auf welcher Grundlage wird diese Warnung angezeigt?

Niemand weiß genau, welche Anbieter Chrome und Firefox für ihre umfangreiche Liste von Fehlalarmen verwenden. Einige sagen, dass die Website stopbadware.org verantwortlich ist, aber ich bin nicht so sicher.

Informieren Sie sich darüber, wie Sie vorgehen müssen, um die Überreste meiner Websites und die Reputation meiner Software auf sofort wirksame Weise wiederherzustellen, bevor es zu spät ist. Danke.

Für diejenigen, die nach der Site und der Software fragen, ist dies: http://www.andreszsogon.com/grf-wizard/

Die Software gehört mir. Es ist eine einfache Benutzeroberfläche für ein Befehlszeilentool. Ich habe es mit VB6 entwickelt, die EXE-Datei der App mit UPX-Kompressor komprimiert, das Installationsprogramm mit Inno Setup erstellt und dann über FTP hochgeladen. Ich lade Sie ein, es zu installieren, zu testen und alles zu scannen, was Sie wollen.

google-chrome firefox malware andreszs
quelle
35
Woher weißt du, dass deine Exe keinen Virus enthält? Möglicherweise hat Ihr Computer einen Virus, der den von Ihnen verwendeten Compiler infiziert hat, und der Compiler fügt jetzt Viren in alle Exes ein, die Sie zu kompilieren versuchen? Wenn Ihre Website kein HTTPS verwendet, fügt ein Mann in der Mitte (z. B. Ihr ISP) möglicherweise einen Virus in Ihre Exe ein.
7
Was ist deine Seite? Haben Sie die EXE-Dateien auf Ihrer Website mit VirusTotal oder anderen Quellen verglichen? Woher weißt du, dass Firefox falsch ist?
DW
4
Diese Online-Ativirus-Testsuite gibt an, dass Ihre ausführbare Datei infiziert ist: metascan-online.com/en/scanresult/file/…
Lesto
25
Ihre Frage ist sehr aufgeregt. Dies ist nicht der geeignete Ort, um Ihre Frustrationen auszulösen. Der Prozess der Identifizierung von Malware ist nicht deterministisch. es wird immer falsch positive und negative geben. Sie haben hier jedoch eine berechtigte Frage; Es ist im Grunde genommen: "Wie funktioniert die Identifizierung von Malware und was kann ich gegen ein falsches Positiv tun?" Wir alle würden es begrüßen, wenn Sie den persönlichen, emotionalen Inhalt entfernen und ihn auf eine gute Darstellung der eigentlichen Frage reduzieren könnten.
jpmc26
6
Sie verwenden WordPress Version 3.8.1 und behaupten, Ihre Website sei sicher? Ich würde dringend empfehlen, einige Updates ... Sie sind alles andere als sicher.

Antworten:

76

Bevor Sie sich zu sehr auf Firefox und Google Safe Browsing ärgern, müssen Sie zunächst herausfinden, ob Google Safe Browsing richtig ist. Es ist nicht ungewöhnlich, dass Websites ausführbare Dateien verteilen, die Malware oder Viren enthalten, ohne zu bemerken, dass sie dies tun. Oft ist Google Safe Browsing richtig und die Website-Betreuer waren sich der Situation einfach nicht bewusst - manchmal wurde ihre Website gehackt, oder manchmal hat jemand Dateien hochgeladen, die mit Viren infiziert sind, ohne es zu merken.

Sehen Sie sich zunächst Ihre Website genau an, um festzustellen, ob Ihre Downloads möglicherweise problematisch sind. Sie können damit beginnen, die Webmaster-Hilfe von stopbadware.org und die Webmaster-Hilfe von Google für gehackte Websites zu lesen . Dann gibt es ein paar allgemeine Schritte, die Sie unternehmen sollten:

  1. Überprüfen Sie, ob auf Ihrer Website Malware vorhanden ist. Sie müssen Ihre Website sorgfältig durchsuchen, um zu überprüfen, ob die heruntergeladenen Dateien gefährlich sind oder Viren / Malware enthalten. Sie können zunächst mithilfe der Google Webmaster-Tools überprüfen, welche fehlerhaften Dateien von Google erkannt wurden. Sie sollten sich auch die detaillierte Diagnoseseite von Google Safe Browsing und die dort aufgeführten Seiten und Dateien ansehen. Sie können die Diagnoseseite hier anzeigen, um zu sehen, welche Seiten die Auflistung speziell ausgelöst haben. Ich schlage außerdem vor, dass Sie alle EXE-Dateien, die Sie auf Ihrer Website zur Verfügung stellen, auf VirusTotal hochladen und auf Viren überprüfen.

  2. Überprüfen Sie, ob Ihre Site Sicherheitslücken aufweist oder gehackt wurde. Häufig finden Hacker eine Site mit Sicherheitslücken, gefährden die Site und ändern sie, um Malware auf der Site einzufügen. Die Site-Administratoren erfahren dies zum ersten Mal, wenn sie bei Google Safe Browsing gelistet werden. Sie sollten also sorgfältig prüfen, ob Ihnen dies passiert ist. Hier sind einige kostenlose Dienste, die Ihre Website für Sie scannen:

    Wenn Sie Sicherheitslücken finden, schalten Sie Ihre Site offline und beheben Sie diese. Wenn Sie feststellen, dass Ihre Site kompromittiert wurde, müssen Sie wahrscheinlich die Site bereinigen und alles von einer als funktionierend bekannten Sicherung neu laden. Weitere Ressourcen finden Sie unter https://www.stopbadware.org/hacked-sites-resources .

  3. Schützen Sie Ihre Website vor Hacking. Ich schlage vor, dass Sie die Sicherheit Ihrer Website überprüfen und sicherstellen, dass sie gut gegen Hackerangriffe geschützt ist, um zu verhindern, dass jemand in die Website eindringt und sie so ändert, dass sie Malware enthält. Unter https://www.stopbadware.org/prevent-badware-basics finden Sie Hintergrundinformationen. Stellen Sie außerdem sicher, dass Ihre Site-Software vollständig aktualisiert ist.

Wenn ich diese Tools verwende, finde ich Folgendes:

  • Sucuri sagt, dass Sie eine veraltete Version von WordPress (vor 4.2) verwenden. Es sieht so aus, als würden Sie Wordpress 3.8.1 ausführen. 4.2.2 ist die aktuelle Version. Dies macht es wahrscheinlich, dass Ihre Website anfällig ist und gefährdet werden kann: In Wordpress 3.8.1 sind mehrere Sicherheitslücken bekannt. Sie sollten sicherstellen, dass Sie immer aktuelle Versionen der Software ausführen. Wenn Sie nicht auf dem neuesten Stand sind, können Angreifer Ihre Website kompromittieren und sie zum Hosten von Malware verwenden. Also, aktualisiere WordPress.

  • Laut Google Safe Browsing hat Ihre Website beim Besuch von Google am 10.05.2015 Malware gehostet: "1 Seite (n) hat dazu geführt, dass bösartige Software ohne Zustimmung des Nutzers heruntergeladen und installiert wurde." Anscheinend wurde beim letzten Besuch, dem 25.05.2015, keine Malware gefunden. Es scheint also, dass auf Ihrer Website früher Malware gehostet wurde, dies jedoch nicht mehr der Fall ist.

    Es ist nicht klar, was die problematische Seite war. Der Bericht für www.andreszsogon.com/grf-wizard besagt, dass unter keine bösartigen Seiten gefunden wurden /grf-wizard. Daraus kann man schließen, dass die problematische Seite eine andere Seite gewesen sein muss www.andreszsogon.com- aber es war nichts darunter /grf-wizard. Ich habe versucht, mit der Online-Benutzeroberfläche von Google Safe Browsing herumzuspielen, konnte jedoch nicht einschränken, auf welcher Seite Ihre Website in ihrem System aufgelistet wurde.

DW
quelle
3
Alle Tests werden ausgeführt, Webmaster-Tools überprüft. Bitte denken Sie daran, dass ich nicht nur ein normaler Durchschnittsbenutzer bin, der nicht weiß, wie man ein AV installiert oder es aktualisiert. Ich entwickle seit 15 Jahren Software und Web-Apps. Die Website ist sicher, alle Software ist sauber.
Welche Art von Signaturen / Zertifikaten verwendet möglicherweise selbst signiert? Auch was die Komprimierung betrifft, werden einige Komprimierungstypen mit größerer Wahrscheinlichkeit als "iffy" gekennzeichnet
78
@ Andrew Ehrlich gesagt, wenn Sie die Erfahrung machen würden, von der Sie behaupten, dass Sie sie haben, würden Sie wissen, dass eine Aussage wie "Die Site ist sicher" absolut unmöglich ist. ZB: Sie verwenden WordPress. Im Laufe der Jahre gab es unzählige Zero-Day-Exploits gegen WordPress-Installationen. Darüber hinaus schalten Sie Google Adsense-Anzeigen und verwenden anscheinend mindestens ein Wordpress-Plug-in eines Drittanbieters. Alles in allem wird es dir wahrscheinlich gut gehen, aber zu erklären, dass du das weißt, ist nur ein Zeichen dafür, dass du nicht weißt, wovon du sprichst. So oder so (Fortsetzung)
David Mulder
21
Google Safe Browsing gibt manchmal wirklich seltsame Fehlalarme und meiner Erfahrung nach werden sie auch ziemlich schnell behoben, also viel Glück damit. Alles in allem hat das Google Safe-Projekt mir mehr Ärger erspart, als es mich gekostet hat, aber es kann von Zeit zu Zeit ziemlich irritierend sein.
David Mulder
10
@Andrew UPX ist der am häufigsten zum Packen von Malware verwendete Packer. Wenn Sie also Ihre Downloads auch mit UPX packen, werden Alarme ausgelöst.
Michael Hampton
32

Quelle Vor kurzem wurde mit dem Löschen von Downloads begonnen, die angeblich "Viren oder Spyware" enthalten.

"In den letzten zwei Tagen wurde das Löschen einiger Downloads gestartet, indem im Download-Fenster die Fehlermeldung" Blockiert: Kann Viren oder Spyware enthalten "angezeigt wurde. "

...

Firefox verwendet Daten aus dem Google- Projekt "Safe Browsing" , um die Reputation von Websites und Downloads zu bewerten. Von Zeit zu Zeit ändert Google die von ihm bereitgestellten Daten. Möglicherweise weist Google neben der eigentlichen Malware auch auf potenziell unerwünschte Programme hin.

Für die Zukunft erwägen die Entwickler eine Option, um den Block zu überschreiben und die Datei trotzdem abzurufen. Es wird wahrscheinlich einige Monate dauern, bis dies eintritt, da sicherheitsrelevante Änderungen einige Zeit in Anspruch nehmen.

Wenn Sie der Meinung sind, dass diese Dateiblöcke "False Positives" sind und die Dateien tatsächlich sicher sind, können Sie vorerst eine der folgenden Aktionen ausführen:

(1) Laden Sie die Datei mit einem anderen Browser herunter (yikes)

(2) Laden Sie die Datei mit einem Downloader-Add-On herunter, das diese Sicherheitsüberprüfung umgeht. Ich habe in einem anderen Thread davon gehört, es aber nicht selbst ausprobiert (und ich weiß auch nicht, welchen Add-Ons ich dafür vertrauen soll!).

(3) Deaktivieren Sie die Funktion "Sicheres Browsen" vorübergehend, um die Datei abzurufen, und schalten Sie sie dann wieder ein. Im Dialogfeld "Optionen" befindet sich ein Kontrollkästchen:

Menütaste "3-bar" (oder Menü "Extras")> Optionen> Erweitert

Auf der Registerkarte "Sicherheit" ist das Kontrollkästchen "Block gemeldete Angriffsseiten" aktiviert. Das andere Kontrollkästchen bezieht sich auf Phishingwebsites und hat meiner Meinung nach keine Auswirkungen auf Downloads.

Quelle Wie funktioniert der integrierte Phishing- und Malware-Schutz?

Firefox enthält einen integrierten Phishing- und Malware-Schutz, damit Sie online sicher sind. Diese Funktionen warnen Sie, wenn eine von Ihnen besuchte Seite als Web-Fälschung einer legitimen Website (manchmal als "Phishing" -Seiten bezeichnet) oder als Angriffsseite gemeldet wurde, die Ihren Computer schädigen soll (auch als Malware bezeichnet). Diese Funktion warnt Sie auch, wenn Sie Dateien herunterladen, die als Malware erkannt wurden.

...

"Ich habe bestätigt, dass meine Website sicher ist. Wie kann ich sie von den Listen entfernen?"

Wenn Sie eine Website besitzen, die angegriffen wurde und die Sie seither repariert haben, oder wenn Sie der Meinung sind, dass Ihre Website als fehlerhaft gemeldet wurde, können Sie die Entfernung aus den Listen beantragen. Wir empfehlen den Eigentümern der Website jedoch, solche Berichte gründlich zu untersuchen. Eine Site kann häufig ohne sichtbare Änderung in eine Angriffs-Site umgewandelt werden.

DavidPostill
quelle
1
Danke, ich werde diese Formulare ausprobieren. Bitte beachten Sie, dass das Deaktivieren des Filters oder die Verwendung eines anderen Browsers (?) Keine Lösung darstellt und ich meine Benutzer nicht zwingen kann, diesen oder jenen Browser zu verwenden, da sie fälschlicherweise meine Dateien beschuldigen, die vollkommen sauber sind. Die einzig mögliche Lösung ist, dass falsche Positive aus der Datenbank des Anbieters entfernt werden.
7
@ Andrew, ich empfehle Ihnen auch, die Dateien an virustotal zu senden . Sie werden wahrscheinlich feststellen, dass einige Anbieter Ihre Programme als Malware erkennen (wahrscheinlich generische Signaturen).
Angel,
19
@ Andrew Es ist bedauerlich, dass Sie nicht nur eine Beschimpfung eingereicht haben, sondern sich auch weigern, Antworten auf die darin enthaltene Kernfrage zu akzeptieren. Die Site ist letztendlich ein Wissensspeicher für andere Benutzer und nicht Ihr persönlicher Helpdesk.
Ich habe festgestellt, dass GWT dieses Problem in einem separaten Abschnitt namens "Sicherheitsprobleme" anzeigt und die URL als "Unbestimmte Malware" gekennzeichnet ist. Ich habe das Installationsprogramm erneut hochgeladen, ohne UPX für die Haupt-EXE-Datei zu verwenden, und bitte um eine Überprüfung, um dieses Problem zu beheben. Danke.
2
Andrew, wenn das Installationsprogramm den Malware-Test mit entferntem UPX besteht, denken Sie bitte daran, meine Antwort zu akzeptieren.
19

Ich musste die Verwendung von UPX mit meiner eigenen Software einstellen, da viele Virenscanner die Verwendung von Packern de facto als Beweis für ein Fehlverhalten betrachten. Sie können versuchen, eine entpackte Version Ihres Downloads zu veröffentlichen und prüfen, ob die Warnung nicht mehr angezeigt wird.

Erik Knowles
quelle
1
ist eine Antwort? Dies sollte in Kommentaren gepostet werden.
2
Tatsächlich erkennt Avast UPX.exe als "Bedrohung". Aber die damit komprimierten Dateien gelten als "sauber". Ich habe jetzt einen neuen Installer mit der nicht komprimierten EXE hochgeladen, nur für den Fall.
15
Francisco: Warum sollte ich das als Kommentar posten? Es war eindeutig als Antwort auf die Frage des OP gedacht.
6
@FranciscoTapia Dies ist definitiv eine Antwort und wahrscheinlich die richtige.
Brad
1
Die gute Frage ist hier, obwohl sie völlig inoffiziell ist, warum man heute, 2015, UPX oder einen anderen EXE-Packer mit den heutigen Download-Geschwindigkeiten verwendet. Ich kann kaum glauben, dass das Packen von EXE-Dateien zur Verkleinerung (wenn es dafür keine weiteren Argumente gibt) für jedermann von Vorteil sein könnte, insbesondere unter Berücksichtigung aller (hier in vielen Punkten zum Ausdruck gebrachten) Probleme wenn du das tust.
Trejder
12

Ich habe auf der Seite, die Sie verlinkt haben, eine Ansichtsquelle erstellt, die die Frage aufwirft: Haben Sie Ihrer Website das folgende Skript-Tag hinzugefügt? Oder hat es jemand geschafft, das in dein WordPress zu schleichen?

<script type='text/javascript' src='http://www.andreszsogon.com/wp-content/themes/contango/lib/js/superfish/superfish-combine.min.js?ver=1.5.9'></script>

Da ich ziemlich stark vermuten würde , dass das Einbinden von Superfish Sie von der Safe Search-Datenbank von Google blockieren würde. Es ist fast selbstverständlich, dass Superfish einen sehr schlechten Ruf hat. Schauen Sie sich doch an, was Lenovo widerfahren ist, als es Ende letzten Jahres Superfish-Software in seine Notebooks aufgenommen hat. Sie haben einen RIESIGEN PR-Treffer erzielt.

Außerdem kann / wird AV-Software sehr oft nicht viele Dateien finden, die schädliches PHP enthalten. Ich würde dringend empfehlen, manuell (auch mit Windows Find oder * nix grep, je nachdem, auf welcher Plattform Ihre Site ausgeführt wird) in Ihrer gesamten WordPress-Installation nach Dateien zu suchen, die nicht dazugehören, und INSBESONDERE nach Dateien, die PHP-Code enthalten eval () und / oder base64_decode () enthalten, besonders verschachtelt! Wenn Sie irgendwelche finden, die offensichtlich nicht Teil des Systems sind und erwartet werden, sollten Sie sofort eine neue Installation von WordPress starten und Ihr WP-Inhaltsverzeichnis in dieses Verzeichnis verschieben, vorausgesetzt, dass sich dort auch keine fehlerhaften Dateien befinden. In diesem Fall sollten Sie die Site am besten von vorne beginnen. Glücklicherweise ist das mit einer WordPress-Site ziemlich einfach.

Mce128
quelle
15
Das könnte einfach dieses Superfish jQuery-Plugin sein , das zufällig so genannt zu werden scheint.
IMSoP
2
Natürlich kann es auch so einfach sein, dass das Superfish jQuery-Plugin aufgrund der Namensähnlichkeit zu den anderen Superfish-Plugins ein falsches Positiv generiert. Wenn es Menschen schwer fällt, sie zu differenzieren, ist es nicht verwunderlich, dass auch ein Computer Schwierigkeiten hat.
Aslum
Vielen Dank für den Vorschlag, dass das Skript, wie andere Benutzer sagten, ein einfacher JS-Wrapper-Teil des Contango-Themas ist. Wenn das Problem bei der Installation von WordPress auftreten würde, würden mit Sicherheit alle Dateien blockiert und nicht nur eine oder zwei.
2
@ Andrew Ja, absolut, wenn es tatsächlich Teil der Vorlage / des Themas ist, dann ist es nicht das Problem, da es dann Site-weit sein würde. Ich nehme an, dass ich vielleicht einen Blick auf die Site werfen und nachsehen sollte, ob das auf allen Seiten stand. Nach meiner Erfahrung werden oft seltsame Dinge in einzelne Seiten injiziert, wenn diese Stiele kompromittiert werden. Klar, ich habe die Waffe dort gesprungen. Hauptsächlich, weil mir das jQuery-Plugin nicht bekannt war, das den Namen mit dieser heimtückischen Software teilt. Ich fragte mich, ob es vielleicht ein Rouge-Installer war oder etwas, wenn Sie es nicht hinzugefügt hätten.
1
Trotzdem empfehle ich dringend, nachzusehen, was ich in meinem letzten Absatz beschrieben habe. Leider sehe ich solche Dinge sehr oft, wenn ich Anrufe von Kunden erhalte, deren WordPress-Sites kompromittiert wurden. Es ist ein weit verbreitetes Muster in den Dateien der Site. Tatsächlich finde ich die meiste Zeit nicht einmal Systemdateien, die geändert wurden oder nur eine kleine Handvoll davon, von ein paar überflüssigen Dateien, die herumliegen, bis hin zu buchstäblich Tausenden! In diesen Fällen versuchen die Dateinamen normalerweise, Teil des Systems zu sein, oder es handelt sich um generierte Kauderwelschnamen.
8

... die EXE-Datei der App mit dem UPX-Kompressor komprimiert ...

~ Vor 10 Jahren wurde UPX häufig von Viren verwendet, um die Erkennung und das Reverse-Engineering zu erschweren. Tatsächlich wurde es so häufig, dass viele Antivirenprogramme jetzt jedes UPX-gepackte Programm standardmäßig als Bedrohung betrachten. Dies ist mit ziemlicher Sicherheit Ihr Problem.

Sie haben wirklich nur zwei Möglichkeiten:

  • Verwenden Sie VirusTotal, um festzustellen, welche Websites Ihrer Meinung nach Malware sind, und senden Sie Ihr Programm als falsch-positiv an diese Unternehmen.
  • Verwenden Sie eine andere Methode, um Ihre Software zu komprimieren. Eine gute Alternative sind selbstextrahierende ausführbare Dateien , mit denen Sie Ihre Software noch besser komprimieren können, ohne die verdächtige Verschleierung.
BlueRaja - Danny Pflughoeft
quelle
1
Danke, das ist sehr nützlich. Eigentlich hat mein AV den UPX-Kompressor als eine Art "Bedrohung" erkannt, was sehr ärgerlich ist. Ich werde es von allen nachfolgenden Versionen loswerden.
Andreszs
4

Ich betreibe eine 20 Jahre alte Website für Software-Enthusiasten und stoße auch auf Ihre Probleme. Dies ist eine Site, die ihre Blütezeit im Jahr 2000 hatte und jetzt als Archiv fungiert. Etwa dreimal im Jahr identifiziert Google Safe Browsing eine neue "Malware", die in der Regel zwischen 1999 und 2002 geschrieben und hochgeladen wird. Dabei spielt es keine Rolle, dass sie immer vorhanden war. Egal, dass es seit über einem Jahrzehnt niemand mehr berührt hat. Das Scannen dieser Datei mit virustotal zeigt unweigerlich, dass es sich um einen Virus handelt, aber niemals um die gängigen Virensoftwareprogramme wie Symantec oder andere. Immer die, von denen Sie noch nie gehört haben auf einer 530-Byte-Textdatei.

Also, was ist die Lösung? Angesichts der Tatsache, dass Google Safe Browsing der Richter, die Jury und der Henker ist, haben Sie drei Möglichkeiten:

  1. Lösche die Datei und mache etwas anderes mit deinem Leben (aus Gründen der Vernunft empfohlen)

  2. Ändern Sie radikal den Inhalt der Datei (normalerweise, wenn nach Änderungen virustotal es nicht aufnimmt, können Sie loslegen)

  3. Stellen Sie den Dateidownload hinter ein Login

Persönlich würde ich mich nicht sehr darum kümmern, ich finde es einfach traurig, wenn ich ein Stück Software löschen muss, das sonst nirgendwo zu finden ist.

Der Aufreißer
quelle