web-dev-qa-db-fra.com

Firefox m'accusant de distribution de malware sur mon site

J'ai remarqué que Firefox avait décidé de bloquer certains installateurs EXE de mon site, affichant une étiquette Blocked: peut contenir des virus ou des logiciels espions . Je clique avec le bouton droit sur le fichier, sélectionnez , débloquez et ce message s'affiche avec le signe Débloque quand même et Protégez-moi de toute sécurité :

Le fichier contient un virus ou un autre logiciel malveillant susceptible de nuire à votre ordinateur. Vous pouvez rechercher une autre source de téléchargement ou continuer malgré tout.

Notez que le dialogue ne dit pas peut ; il dit va nuire à votre ordinateur.

Sur quelle base cet avertissement est-il affiché?

Personne ne sait avec certitude quel fournisseur Chrome et Firefox utilisent pour leur longue liste de faux positifs. Certains disent que le site stopbadware.org est responsable, mais je n'en suis pas si sûr.

Veuillez indiquer comment procéder pour restaurer ce qui reste de mes sites et de la réputation de vos logiciels de manière immédiatement efficace, avant qu'il ne soit trop tard. Je vous remercie.

Pour ceux qui posent des questions sur le site et les logiciels, voici ceci: http://www.andreszsogon.com/grf-wizard/ =

Le logiciel est à moi. C'est une interface graphique simple pour un outil de ligne de commande; Je l'ai développé avec VB6, compressé le fichier EXE de l'application avec le compresseur UPX, construit l'installateur avec Inno Setup, puis téléchargé via FTP. Je vous invite à l'installer, à le tester et à le numériser à votre guise.

45
andreszs

Avant d’être trop pris dans votre colère contre Firefox et Google Safe Browsing, vous devez d’abord déterminer si Google Safe Browsing est correct. Il n'est pas rare que des sites distribuent des fichiers exécutables contenant des logiciels malveillants ou des virus, sans se rendre compte qu'ils le font. Google Safe Browsing a souvent raison et les responsables de la maintenance du site n’étaient tout simplement pas au courant de la situation. Parfois, leur site était piraté, ou bien quelqu'un chargeait parfois des fichiers infectés par un virus sans s'en rendre compte.

Commencez donc par examiner de près votre site pour savoir si certains de vos téléchargements sont potentiellement problématiques. Vous pouvez commencer par consulter Aide du Webmaster de stopbadware.org et Aide des Webmasters de Google pour les sites piratés . Ensuite, il y a quelques étapes générales que vous devriez suivre:

  1. Vérifiez s'il existe des programmes malveillants sur votre site. Vous devez analyser votre site avec soin pour vérifier si l'un des fichiers téléchargés est dangereux ou contient des virus/programmes malveillants. Vous pouvez commencer par utiliser Google Webmaster Tools pour vérifier quels sont les mauvais fichiers détectés par Google. Vous devez également consulter la page de diagnostic détaillée de Google Safe Browsing et examiner de près les pages et les fichiers répertoriés dans cette liste. Vous pouvez voir la page de diagnostic ici pour voir quelles pages ont spécifiquement déclenché la liste. Je vous suggère également de télécharger chacun des fichiers EXE que vous rendez disponibles sur votre site vers VirusTotal et de les rechercher pour qu'ils ne contiennent pas de virus.

  2. Vérifiez si votre site a des failles de sécurité ou s'il a été piraté. Souvent, ce qui se passe, c'est que les pirates informatiques trouvent un site qui présente des failles de sécurité, compromettent le site. , et modifiez-le pour insérer un malware sur le site. Les administrateurs du site apprennent cela en premier lieu lorsqu’ils sont répertoriés dans Google Safe Browsing. Donc, vous devriez vérifier attentivement si cela vous est arrivé. Voici quelques services gratuits qui analyseront votre site Web pour vous:

    Si vous rencontrez des problèmes de sécurité, déconnectez votre site et corrigez-le. Si vous constatez que votre site a été compromis, il est probable que vous deviez effacer le site et tout recharger à partir d'une sauvegarde en bon état. Voir https://www.stopbadware.org/hacked-sites-resources pour plus de ressources.

  3. Protégez votre site contre le piratage. Je vous suggère de passer en revue la sécurité de votre site et de vous assurer qu'il est bien protégé contre le piratage afin d'empêcher toute intrusion et modification du site. cela pour servir les logiciels malveillants. Voir, par exemple, https://www.stopbadware.org/prevent-badware-basics pour un aperçu. Assurez-vous également que le logiciel de votre site est entièrement mis à jour.


Lorsque j'utilise ces outils, voici ce que je trouve:

  • Sucuri dit vous utilisez une version obsolète de WordPress (antérieure à la version 4.2). On dirait que vous utilisez Wordpress 3.8.1; 4.2.2 est la version actuelle. Cela rend probablement votre site vulnérable et peut être compromis: il existe plusieurs vulnérabilités connues dans Wordpress 3.8.1. Assurez-vous de toujours utiliser des versions à jour du logiciel. Si vous ne parvenez pas à vous tenir à jour, cela crée une opportunité pour les attaquants de compromettre votre site et de l'utiliser pour héberger des logiciels malveillants. Alors, mettez à jour WordPress.

  • Google Safe Browsing indique que votre site hébergeait des logiciels malveillants lors de sa visite par Google le 10/05/2015: "1 page (s) ont abouti au téléchargement et à l'installation de logiciels malveillants sans le consentement de l'utilisateur". Apparemment, aucun logiciel malveillant n'a été trouvé lors de la dernière visite, le 25/05/2015, il semble donc que, par le passé, votre site hébergeait des programmes malveillants, mais ce n'est plus le cas.

    On ne sait pas quelle était la page problématique. Le rapport pour www.andreszsogon.com/grf-wizarddit aucune page malveillante n'a été trouvée sous /grf-wizard. Donc, vous pouvez en déduire que la page problématique doit avoir été une autre page sous www.andreszsogon.com - mais ce n'était rien sous /grf-wizard. J'ai essayé de jouer avec l'interface en ligne de Google Navigation sécurisée, mais je n'ai pas été en mesure de préciser la page à l'origine de la liste de votre site dans leur système.

76
D.W.

Source a récemment commencé à supprimer les téléchargements déclarant un "virus ou un logiciel espion".

"Deux derniers jours, une partie du téléchargement a commencé à être supprimée en indiquant que le message d'erreur" Bloqué: peut contenir des virus ou des logiciels espions ", dans la fenêtre de téléchargement. "

...

Firefox utilise les données du projet "Navigation sécurisée" de Google pour évaluer la réputation des sites Web et des téléchargements. De temps en temps, Google modifie les données qu'il fournit. Par exemple, il peut signaler des programmes potentiellement indésirables en plus des programmes malveillants.

Pour l'avenir, les développeurs envisagent une option pour remplacer le bloc et obtenir le fichier de toute façon. Cela prendra probablement au moins quelques mois avant que les modifications sensibles à la sécurité prennent du temps à concevoir.

Pour l'instant, si vous pensez que ces blocs de fichiers sont des "faux positifs" et que les fichiers sont réellement sûrs, vous pouvez effectuer l'une des opérations suivantes:

(1) Téléchargez le fichier en utilisant un autre navigateur (yikes)

(2) Téléchargez le fichier à l'aide d'un module complémentaire de téléchargement qui contourne cette vérification de sécurité. J'en ai entendu parler dans un autre fil de discussion, mais je n'ai pas essayé moi-même (et je ne sais pas non plus à quels compléments faire confiance!).

(3) Désactivez temporairement la fonction de navigation sécurisée pour récupérer le fichier, puis réactivez-le. Il y a une case à cocher dans la boîte de dialogue Options:

Bouton de menu "3 barres" (ou menu Outils)> Options> Avancé

Dans l'onglet Sécurité, cochez la case "Bloquer les sites d'attaque signalés". L'autre case à cocher concerne les sites de phishing et je ne pense pas que cela affecte les téléchargements.


Source Comment fonctionne la protection intégrée contre le phishing et les logiciels malveillants?

Firefox contient une protection intégrée contre le phishing et les logiciels malveillants pour vous aider à rester en sécurité en ligne. Ces fonctionnalités vous avertiront lorsqu'une page visitée a été signalée comme une falsification Web d'un site légitime (parfois appelé "pages de phishing") ou comme un site d'attaque conçu pour endommager votre ordinateur (également appelé programme malveillant). Cette fonctionnalité vous avertit également si vous téléchargez des fichiers détectés comme des programmes malveillants.

...

"J'ai confirmé la sécurité de mon site. Comment puis-je le supprimer des listes?"

Si vous possédez un site qui a été attaqué et que vous l'avez réparé depuis, ou si vous pensez que votre site a été signalé par erreur, vous pouvez demander qu'il soit supprimé des listes. Nous encourageons toutefois les propriétaires de sites à mener une enquête approfondie sur ce type de rapport. un site peut souvent être transformé en site d'attaque sans aucune modification visible.

  • Pour demander le retrait de la liste des sites de phishing signalés, tilisez ce formulaire fournie par Google.
  • Pour demander le retrait de la liste des sites de logiciels malveillants signalés, tilisez celui-ci , fourni par stopbadware.org.
32
DavidPostill

J'ai dû cesser d'utiliser UPX avec mon propre logiciel car de nombreux antivirus considèrent que l'utilisation de Packer est une preuve de facto d'actes répréhensibles. Vous pouvez essayer de publier une version décompressée de votre téléchargement et voir si l'avertissement disparaît.

19
Erik Knowles

J'ai fait une source de vue sur la page que vous avez liée, et bien, cela soulève une question: est-ce vous qui avez ajouté la balise de script suivante à votre site? Ou quelqu'un a-t-il réussi à insérer cela dans votre wordpress?

<script type='text/javascript' src='http://www.andreszsogon.com/wp-content/themes/contango/lib/js/superfish/superfish-combine.min.js?ver=1.5.9'></script>

Comme je le ferais plutôt fortement , le fait d'inclure quoi que ce soit dans Superfish vous ferait bloquer par la base de données de recherche sécurisée de Google. Il va presque sans dire que superfish a une réputation très mauvaise. Après tout, voyez ce qui est arrivé à Lenovo pour avoir intégré le logiciel Superfish à ses ordinateurs portables vers la fin de l'année dernière. Ils ont pris un coup énorme PR.

En outre, les logiciels audiovisuels ne peuvent très souvent pas trouver/trouveront beaucoup, voire aucun, de fichiers contenant des php malveillants. Je recommande fortement manuellement (bien avec windows find ou * nix grep quel que soit le cas de la plate-forme sur laquelle votre site est exécuté) de rechercher dans toute votre installation wordpress pour les fichiers qui n'appartiennent pas et - SURTOUT tous les fichiers contenant du code php contenant eval () et/ou base64_decode (), en particulier imbriqués! Si vous en trouvez qui ne font évidemment pas partie du système et qui sont attendus, vous devez immédiatement démarrer une nouvelle installation de wordpress et y déplacer votre répertoire wp-content, à condition qu'il n'y ait pas de mauvais fichier. dans là aussi. Dans ce cas, vous feriez mieux de recommencer le site à partir de zéro. Heureusement, c'est assez facile avec un site wordpress.

12
Mce128

... compressé le fichier EXE de l'application avec le compresseur UPX ...

Il y a environ 10 ans, UPX était couramment utilisé par les virus pour les rendre plus difficiles à détecter et à faire de l'ingénierie inverse. En fait, il est devenu si commun que de nombreux antivirus considèrent désormais tout programme contenant un paquet UPX comme une menace par défaut. C'est presque certainement votre problème.

Vous n'avez vraiment que deux options:

  • Utilisez VirusTotal pour déterminer quels sites estiment que votre logiciel est un logiciel malveillant et soumettez-le à ces sociétés avec un code faux positif.
  • Utilisez une méthode différente pour compresser votre logiciel. Une bonne alternative est fichiers exécutables à extraction automatique , ce qui devrait permettre de compresser encore mieux votre logiciel, sans obscurcissement suspect.

Je gère un site Web de passionnés de logiciel vieux de 20 ans et je rencontre également vos problèmes. C’est un site qui a connu son heure de gloire aux alentours de l’an 2000 et fonctionne maintenant comme une archive. Environ trois fois par an, la navigation sécurisée Google identifie un nouveau "malware", généralement écrit et téléchargé autour de 1999-2002. Peu importe qu'il soit toujours là. Peu importe que personne ne l’ait touché depuis plus d’une décennie. L'analyse de ce fichier avec virustotal montre inévitablement la présence d'un virus, mais ce n'est jamais le cas des logiciels antivirus populaires comme Symantec ou autres, toujours ceux dont vous n'avez jamais entendu parler - une fois, l'un de ses scanneurs de virus a même montré l'existence d'un virus. sur un fichier texte de 530 octets.

Alors, quelle est la solution? Étant donné que Google Safe Browsing est le juge, le jury et le bourreau, vous avez 3 options:

  1. Supprimez le fichier et faites autre chose de votre vie (recommandé pour des raisons de santé mentale)

  2. Modifiez radicalement le contenu du fichier (généralement, si après les modifications, virustotal ne le récupère pas, vous êtes prêt à partir)

  3. Mettre le téléchargement de fichier derrière un login

Personnellement, cela ne me dérange pas trop, je trouve cela triste de devoir supprimer un logiciel qui ne peut être trouvé nulle part ailleurs.

4
TheRipper