Firefox指控我在我的网站上分发恶意软件


45

我注意到Firefox已决定阻止我站点上的某些EXE安装程序,并显示标签“ 已阻止:可能包含病毒或间谍软件”。我右键单击该文件,选择解除阻止,此消息显示为始终解除阻止保持我的安全选项:

该文件包含病毒或其他恶意软件,它们会损害您的计算机。您可以搜索备用下载源或继续进行。

请注意,对话框未显示may;它说会损害您的计算机。

该警告显示在什么基础上?

没人知道Chrome和Firefox使用哪个提供商提供大量的误报。有人说站点stopbadware.org是负责任的,但我不太确定。

请为时过早,建议如何立即有效地恢复我网站的剩余资源和软件声誉。谢谢。

对于那些询问站点和软件的人来说,它是这样的: http : //www.andreszsogon.com/grf-wizard/

该软件是我的。这是命令行工具的简单GUI。我用VB6开发了它,用UPX压缩器压缩了应用程序的EXE,用Inno Setup构建了安装程序,然后通过FTP上传了它。我邀请您进行安装,测试和扫描。


35
您怎么知道您的exe不包含病毒?也许您的计算机感染了正在使用的编译器,并且现在该编译器会将病毒插入到您尝试编译的所有exe中,从而使您的计算机感染了病毒?或者,如果您的网站未使用HTTPS,则中间人(例如ISP)可能正在将病毒插入您的exe。

7
您的网站是什么?您是否已根据VirusTotal或其他来源检查了站点上的EXE?您怎么知道Firefox是错的?
DW 2015年

4
本次网上ativirus-测试套件的说,你的可执行文件感染:metascan-online.com/en/scanresult/file/...
Lesto

25
您的问题非常棘手。这不是发泄挫败感的合适地方。识别恶意软件的过程不确定。总会有错误的肯定和否定。不过,您在这里确实有一个合理的问题;基本上是,“恶意软件识别如何工作,对于误报我该怎么办?” 如果您可以删除个人的情感内容并将其归纳为真实问题的良好表达,我们将不胜感激。
jpmc26 2015年

6
您正在运行wordpress版本3.8.1,并声称您的网站安全吗?我强烈建议您进行一些更新...您远非安全。

Answers:


76

在陷入对Firefox和Google Safe Browsing的愤怒之前,第一步是弄清楚Google Safe Browsing是否正确。网站分发包含恶意软件或病毒的可执行文件而没有意识到自己正在这样做的情况并不少见。通常,Google安全浏览是正确的,网站维护者只是不知道这种情况-有时他们的网站被黑了,或者有时有人上载了一些被病毒感染的文件而没有意识到。

因此,从仔细查看您的站点开始,看您的下载是否有问题。您可以通过细读开始从stopbadware.org网站站长帮助,并为黑客入侵的网站谷歌的网站管理员的帮助。然后,您应该采取一些常规步骤:

  1. 检查您的网站上是否有恶意软件。您需要仔细扫描您的站点,以检查是否有任何文件下载危险或包含病毒/恶意软件。您可以先使用Google网站站长工具检查Google检测到的错误文件。您还应该查看Google安全浏览中的详细诊断页面,并仔细查看此处列出的特定页面和文件。您可以在此处查看诊断页面,以查看哪些页面专门触发了该列表。我还建议您将站点上可用的每个EXE文件上传到VirusTotal并检查是否存在病毒。

  2. 检查您的网站是否存在安全漏洞或已被黑客入侵。 通常,发生的事情是黑客发现一个存在一些安全漏洞的网站,对该网站进行了入侵,然后对其进行修改以将恶意软件插入该网站。网站管理员首先在Google安全浏览中列出该信息。因此,您应该仔细检查这是否发生在您身上。以下是一些免费服务,可为您扫描您的网站:

    如果发现安全漏洞,请使您的站点脱机并进行修复。如果您发现自己的网站已遭到入侵,则可能需要擦除该网站并从已知良好的备份中重新加载所有内容。有关更多资源,请参见https://www.stopbadware.org/hacked-sites-resources

  3. 保护您的网站免受黑客攻击。建议您检查站点安全性,并确保其受到良好保护以防止黑客入侵,以防止他人闯入并对其进行修改以提供恶意软件。有关某些背景,请参见例如https://www.stopbadware.org/prevent-badware-basics。另外,请确保您的站点软件已完全更新。


当我使用这些工具时,会发现以下内容:

  • Sucuri说您正在运行WordPress的过时版本(4.2之前的版本)。看起来您正在运行Wordpress 3.8.1。当前版本为4.2.2。这使您的网站很容易受到攻击并可能受到危害:Wordpress 3.8.1中存在多个已知漏洞。您应确保始终运行最新版本的软件。如果您无法及时更新,它会为攻击者提供机会来入侵您的网站并使用它来托管恶意软件。因此,升级WordPress。

  • Google安全浏览说,当Google在2015年5月10日访问时,您的网站正在托管恶意软件:“有1个页面导致未经用户同意就下载和安装了恶意软件”。显然,在2015年5月25日的最新访问中未发现恶意软件,因此听起来好像在过去的某个时候,您的网站托管了恶意软件,但现在不再存在。

    目前尚不清楚问题页面是什么。的报告www.andreszsogon.com/grf-wizard ,在下没有发现恶意网页/grf-wizard。因此,您可以推断出有问题的页面一定是在下方的其他页面上www.andreszsogon.com-但在之下没有任何内容/grf-wizard。我曾尝试使用Google Safe Browsing的在线界面,但无法缩小导致您的网站在其系统中列出的页面。


3
运行所有测试,并检查网站管理员工具。请记住,我不仅仅是不知道如何安装AV或更新AV的普通普通用户;我从事软件和Web应用程序开发已有15年了。该站点是安全的,所有软件都是CLEAN。

什么样的签名/证书可能会使用自签名?同样,压缩正在发挥作用,某些压缩类型更可能被标记为iffy

78
@Andrew老实说,如果您有声称的经历,那么您将完全不可能做出类似“该站点是安全的”这样的声明。例如:您运行的是wordpress,多年来,针对wordpress安装的零日漏洞利用不计其数。最重要的是,您还正在投放Google Adsense广告,并且似乎正在使用至少一个第三方Wordpress插件。所有人都认为您可能还不错,但声明您知道事实,这仅表示您不知道自己在说什么。无论哪种方式,(续)
David Mulder

21
Google安全浏览有时确实会带来一些奇怪的误报,而且根据我的经验,它们也会很快得到修复,因此祝您好运。所有人都认为Google安全浏览项目比给我节省了很多麻烦,但有时可能会很烦人。
大卫·穆德

10
@Andrew UPX是最常用于打包恶意软件的打包程序,因此,如果您还使用UPX打包下载内容,则会触发警报。
迈克尔·汉普顿

32

来源最近开始删除声称有“病毒或间谍软件”的下载内容。

“最近两天,在下载窗口显示“已阻止:可能包含病毒或间谍软件”错误消息,开始删除某些下载内容。

...

Firefox使用Google的“安全浏览”项目中的数据来评估网站和下载的声誉。Google经常更改其提供的数据,例如,除了实际的恶意软件外,它还可能在标记潜在的有害程序。

对于将来,开发人员正在考虑一个选项来覆盖该块并仍然获取文件。由于对安全敏感的更改需要花费一些时间进行设计,因此至少可能需要几个月的时间。

现在,如果您认为这些文件块是“误报”并且文件实际上是安全的,则可以执行以下任一操作:

(1)使用其他浏览器(喜欢)下载文件

(2)使用绕过此安全检查的下载器加载项下载文件。我在另一个线程中听说过此消息,但我自己还没有尝试过(而且,我也不知道该相信哪个附加组件!)。

(3)暂时禁用“安全浏览”功能以获取文件,然后将其重新打开。“选项”对话框中有一个复选框:

“三栏式”菜单按钮(或“工具”菜单)>“选项”>“高级”

在“安全性”选项卡上,它是“阻止报告的攻击站点”复选框。另一个复选框与网络钓鱼网站有关,我认为它不会影响下载。


来源内置的网络钓鱼和恶意软件防护如何工作?

Firefox包含内置的网络钓鱼和恶意软件防护,可帮助您确保网络安全。当您访问的页面被报告为合法站点的网络伪造(有时称为“网络钓鱼”页面)或被设计为危害计算机的攻击站点(也称为恶意软件)时,这些功能将向您发出警告。如果您下载被检测为恶意软件的文件,此功能也会警告您。

...

“我已经确认我的网站是安全的,如何将其从列表中删除?”

如果您拥有一个遭到攻击的站点并且已经对其进行了修复,或者您认为报告的站点有误,则可以请求将其从列表中删除。不过,我们鼓励网站所有者彻底调查任何此类报告;一个站点通常可以在没有任何可见变化的情况下变成攻击站点。

  • 要请求从举报的钓鱼网站列表中删除,请使用 Google提供的此表格
  • 要请求从报告的恶意软件站点列表中删除,请使用 stopbadware.org提供的这一站点。

1
谢谢,我将尝试这些表格。请注意,禁用过滤器或使用其他浏览器(?)并不是解决方案,并且我不能强迫用户使用该浏览器或该浏览器,因为他们错误地指控我的文件非常干净。唯一可能的解决方案是从提供者的数据库中删除误报。

7
@Andrew,我也建议您将文件发送到virustotal。您可能会发现一些供应商将您的程序检测为恶意软件(可能是通用签名)。
安赫尔

19
@Andrew不幸的是,您不仅提交了抗议,而且拒绝接受其中的核心问题的答案。该站点最终是其他用户的知识库,而不是您的个人帮助台。

我发现GWT在名为“安全问题”的单独部分中显示了此问题,并且URL标记为“不确定的恶意软件”。我没有使用UPX作为主要EXE来重新上载了安装程序,并请您进行审查以解决此问题,谢谢。

2
安德鲁,如果安装程序在删除UPX的情况下通过了恶意软件测试,请记住接受我的回答。

19

我不得不停止使用自己的软件使用UPX,因为许多病毒扫描程序都认为使用压缩程序是错误行为的事实证据。您可以尝试发布解压后的下载版本,然后查看警告是否消失。


1
是答案吗?这应该张贴在评论中。

2
实际上,Avast将UPX.exe检测为“威胁”。但是用它压缩的文件被认为是“干净的”。我已经用非压缩的EXE上传了一个新的安装程序,以防万一。

15
弗朗西斯科:我为什么要发表此评论?显然,这是为了回答《任择议定书》的问题。

6
@FranciscoTapia这绝对是一个答案,而且可能是正确的答案。
布拉德

1
这里的一个好问题,尽管完全是题外话,是为什么要在今天,2015年以今天的下载速度使用UPX或任何其他EXE压缩程序?我几乎不敢相信,打包EXE来减小体积(如果没有更多这样做的理由)可以使任何人受益,尤其是考虑到一个人可能遇到的所有麻烦(在很多方面都已在此表示)。这样做时。
trejder

12

我在您链接的页面上做了一个视图源,很好,这引发了一个问题:是您在网站上添加了以下脚本标记吗?还是有人设法将其潜入您的wordpress中?

<script type='text/javascript' src='http://www.andreszsogon.com/wp-content/themes/contango/lib/js/superfish/superfish-combine.min.js?ver=1.5.9'></script>

正如我会相当强烈的怀疑,包括快鱼东西会让你阻止谷歌的安全搜索数据库。毫无疑问,超级鱼的声誉很差。毕竟,看看联想在去年年底将Superfish软件包括在笔记本中时发生了什么。他们遭受了巨大的公关打击。

同样,由于AV软件经常/根本不会/根本找不到包含恶意php的文件。我会强烈建议您手动进行搜索(最好使用Windows find或* nix grep,无论哪种情况都适用于您的网站所运行的平台),在整个wordpress安装中搜索不属于您的文件,尤其是包含php代码的文件其中有eval()和/或base64_decode(),尤其是嵌套的!如果发现任何显然不是系统组成部分且不是预期的内容,则应立即开始新安装的wordpress并将wp-content目录移到其中,前提是其中也没有任何不良文件。在这种情况下,最好从头开始创建站点。幸运的是,使用wordpress网站非常容易。


15
可能就是这个Superfish jQuery插件,它似乎恰好是这样命名的。
IMSoP 2015年

2
当然,值得注意的是,由于名称与其他Superfish相似,它可能像Superfish jQuery插件一样容易产生误报。如果人类很难区分它们,那么计算机可能也会遇到困难就不足为奇了。
2015年

正如其他用户所说,感谢您的建议,该脚本是Contango主题的简单JS包装器部分。另外,如果问题出在WordPress安装上,则肯定会阻止所有文件,而不仅仅是一个或两个。

2
@Andrew是的,绝对是的,如果它实际上是模板/主题的一部分,那么这不是问题,因为它将是整个站点的范围。我想也许是,我应该在该站点周围闲逛,然后看一看是否在所有页面上。通常,以我的经验,当这些姿势受到损害时,通常会将奇怪的事情注入到单个页面中。显然,我把枪跳到了那里。主要是因为我不知道与该阴险软件共享名称的jQuery插件。我想知道它是否是rouge安装程序,或者您是否不是要添加它的人。

1
虽然,我仍然强烈建议检查一下我在上一段中所描述的内容。令人遗憾的是,当我收到那些wordpress网站遭到入侵的客户的电话时,我经常看到这种事情。这是站点文件中的一种相当常见的模式。实际上,在很多时候,我什至都找不到任何经过修改的系统文件,或者只有很少的文件,从少量多余的讨厌文件到数以千计的文件!在这种情况下,文件名通常要么试图显示为系统的一部分,要么生成为乱码。

8

...使用UPX压缩器压缩了应用的EXE ...

大约10年前,UPX被病毒普遍使用,使它们更难以检测和反向工程。实际上,它变得如此普遍,以至于许多防病毒软件现在默认将任何UPX打包程序视为威胁。这几乎可以肯定是您的问题。

您实际上只有两种选择:

  • 使用VirusTotal可以确定哪些站点认为您的软件是恶意软件,然后将程序作为假阳性提交给那些公司。
  • 使用其他方法来压缩您的软件。自解压可执行文件是一个很好的选择,它在压缩软件时应该做得更好,而不会产生可疑的混淆。

1
谢谢,这非常有用。实际上,我的AV将UPX压缩机检测为一种“威胁”,这很烦人。我将从所有后续版本中删除它。
andreszs

4

我经营着一个拥有20年历史的软件爱好者网站,我也遇到了您的问题。这个站点在2000年左右发展鼎盛,现在已成为档案馆。每年大约有3次Google安全浏览会识别出一个新的“恶意软件”,通常是在1999年至2002年之间编写和上传的。不必担心,它一直都存在。没关系,十年来没有人碰过它。使用病毒总数扫描该文件不可避免地表明存在病毒,但是从来没有像赛门铁克或其他流行的病毒软件那样,它永远都是您从未听说过的-一次,它的一个病毒扫描程序甚至表明存在病毒在530字节的文本文件上。

那么解决方案是什么?鉴于Google安全浏览是法官,陪审团和execution子手,因此您有3种选择:

  1. 删除文件并做点其他事情(建议您保持理智)

  2. 彻底更改文件的内容(通常,如果更改后virustotal没有选择它,则可以使用)

  3. 将文件下载放在登录名后面

就我个人而言,我不太在乎,当我不得不删除一个在其他地方找不到的软件时,我感到很伤心。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.