내 사이트에서 악성 코드를 유포한다고 비난하는 Firefox

45

Firefox가 내 사이트에서 일부 EXE 설치 프로그램을 차단 하여 차단됨 : 바이러스 또는 스파이웨어를 포함 할 수 있음 레이블을 표시하기로 결정했습니다 . 파일을 마우스 오른쪽 버튼으로 클릭하고 차단 해제를 선택 하면이 메시지는 차단 해제 및 안전 유지 옵션 과 함께 표시됩니다 .

파일에 컴퓨터를 손상시킬 수있는 바이러스 또는 기타 맬웨어가 포함되어 있습니다. 대체 다운로드 소스를 검색하거나 계속 진행할 수 있습니다.

대화 상자가 그렇지 않을 수도 있습니다 . 그것은 말한다 해칠 컴퓨터를.

이 경고는 어떤 근거로 표시됩니까?

어느 회사가 Chrome 및 Firefox에서 광범위한 오 탐지 목록을 사용하는지 확실하게 알 수 없습니다. 일부 사이트는 stopbadware.org 사이트 가 책임이 있다고 말하지만 확실하지 않습니다.

너무 늦기 전에 내 사이트의 남은 부분과 소프트웨어 평판을 즉시 효과적인 방법으로 복원하는 방법에 대해 조언하십시오. 감사합니다.

사이트와 소프트웨어에 대해 묻는 사람들은 다음과 같습니다 : http://www.andreszsogon.com/grf-wizard/

소프트웨어는 내 것입니다. 명령 행 도구를위한 간단한 GUI입니다. VB6으로 개발하고 UPX 압축기로 앱의 EXE를 압축하고 Inno Setup으로 설치 프로그램을 작성한 다음 FTP를 통해 업로드했습니다. 설치, 테스트 및 원하는 모든 스캔을 초대합니다.

google-chrome firefox malware

— 안드레스
소스

35

exe에 바이러스가없는 것을 어떻게 알 수 있습니까? 컴퓨터에 사용중인 컴파일러에 감염된 바이러스가 있고 이제 컴파일러가 컴파일하려는 모든 exe에 바이러스를 삽입합니까? 또는 웹 사이트에서 HTTPS를 사용하지 않는 경우 중간에있는 사람 (예 : ISP)이 exe에 바이러스를 삽입했을 수 있습니다.

7

귀하의 사이트는 무엇입니까? 귀하의 사이트에서 EXE를 VirusTotal 또는 다른 소스와 비교하여 확인하셨습니까? Firefox가 잘못되었다는 것을 어떻게 알 수 있습니까?

— DW

4

이 온라인 ativirus-test-suite는 실행 파일이 감염되었다고 말합니다. metascan-online.com/en/scanresult/file/…

— Lesto

25

귀하의 질문은 매우 격렬합니다. 이 곳은 좌절감을 없애기위한 적절한 장소가 아닙니다. 맬웨어를 식별하는 프로세스는 결정적이지 않습니다. 항상 거짓 긍정과 부정이있을 것입니다. 하지만 여기에는 합법적 인 질문이 있습니다. 기본적으로 "맬웨어 식별은 어떻게 작동하며 오 탐지에 대해 어떻게해야합니까?" 개인적이고 정서적 인 내용을 제거하고 실제 질문을 잘 표현할 수 있으면 감사하겠습니다.

— jpmc26

6

WordPress 버전 3.8.1을 실행 중이고 사이트가 안전하다고 주장하십니까? 나는 약간의 업데이트를 강력히 제안합니다 ... 당신은 안전하지 않습니다.

76

Firefox 및 Google 세이프 브라우징에 대한 분노에 지나치게 걸리기 전에 첫 번째 단계는 Google 세이프 브라우징이 올바른지 알아내는 것입니다. 사이트에서 악성 코드 나 바이러스가 포함 된 실행 파일을 배포하는 것은 드물지 않습니다. 종종 Google 세이프 브라우징이 옳고 사이트 관리자는 상황을 알지 못합니다. 때로는 사이트가 해킹되었거나 누군가가 바이러스에 감염된 일부 파일을 업로드하지 않고 업로드하지 않은 경우가 있습니다.

따라서 사이트를 자세히 살펴보고 다운로드에 문제가 있는지 확인하십시오. 당신은 정독으로 시작할 수 있습니다 stopbadware.org에서 웹 마스터 도움말 및 해킹 사이트에 대한 구글의 웹 마스터의 도움을 . 그런 다음 몇 가지 일반적인 단계를 수행해야합니다.

귀하의 사이트에 악성 코드가 있는지 확인하십시오. 파일 다운로드가 위험하거나 바이러스 / 악성 프로그램이 포함되어 있는지 확인하려면 사이트를 신중하게 스캔해야합니다. Google 웹 마스터 도구를 사용하여 Google에서 감지 한 잘못된 파일을 확인할 수 있습니다. 또한 Google 세이프 브라우징에서 자세한 진단 페이지를보고 여기에 나열된 특정 페이지와 파일을 자세히 살펴보십시오. 여기에서 진단 페이지 를보고 목록을 구체적으로 트리거 한 페이지를 확인할 수 있습니다 . 또한 사이트에서 제공하는 각 EXE를 VirusTotal 에 업로드 하고 바이러스가 있는지 확인하는 것이 좋습니다.
사이트에 보안 허점이 있는지 또는 해킹되었는지 확인하십시오. 해커가 보안 취약점이있는 사이트를 찾아 사이트를 손상시키고 사이트에 맬웨어를 삽입하도록 수정하는 경우가 종종 있습니다. 사이트 관리자가 처음 알게 된 것은 Google 안전 브라우징에 등록 된 것입니다. 따라서 이런 일이 발생했는지주의 깊게 확인해야합니다. 웹 사이트를 검색하는 무료 서비스는 다음과 같습니다.
보안 취약점이 발견되면 사이트를 오프라인으로 전환하여 수정하십시오. 사이트가 손상된 경우 사이트를 정리하고 알려진 백업에서 모든 항목을 다시로드해야합니다. 자세한 내용은 https://www.stopbadware.org/hacked-sites-resources 를 참조 하십시오 .
해킹으로부터 사이트를 보호하십시오. 사이트 보안을 검토하고 해킹으로부터 시스템을 보호하여 누군가가 침입하여 맬웨어를 처리하지 못하도록 방지하는 것이 좋습니다. 예를 들어 https://www.stopbadware.org/prevent-badware-basics 를 참조하십시오 . 또한 사이트 소프트웨어가 완전히 업데이트되었는지 확인하십시오.

이 도구를 사용할 때 다음은 내가 찾은 것입니다.

Sucuri는 오래된 버전의 WordPress (pre-4.2)를 실행하고 있다고 말합니다 . Wordpress 3.8.1을 실행중인 것 같습니다. 4.2.2는 현재 버전입니다. 이로 인해 사이트가 취약하고 손상 될 수 있습니다. Wordpress 3.8.1에는 알려진 여러 가지 취약점이 있습니다. 항상 최신 버전의 소프트웨어를 실행해야합니다. 최신 상태를 유지하지 못하면 공격자가 사이트를 손상시키고 해당 사이트를 사용하여 맬웨어를 호스팅 할 수 있습니다. 따라서 WordPress를 업그레이드하십시오.
Google 세이프 브라우징에 따르면 2015 년 5 월 10 일에 Google을 방문했을 때 사이트에서 악성 코드를 호스팅하고 있다고 합니다. "1 페이지로 인해 사용자 동의없이 악성 소프트웨어가 다운로드되어 설치되었습니다." 최근 방문한 2015 년 5 월 25 일에 멀웨어가 발견되지 않았으므로 과거에는 사이트에서 멀웨어를 호스팅하고 있지만 더 이상 멀지 않은 것처럼 들립니다.

문제가있는 페이지가 무엇인지 명확하지 않습니다. 보고서가 www.andreszsogon.com/grf-wizard 말한다 아래에 악성 페이지가 없었다 /grf-wizard. 따라서 문제가있는 페이지는 다른 페이지 아래에 www.andreszsogon.com있었지만 아래에있는 페이지 는 아님을 알 수 /grf-wizard있습니다. Google 세이프 브라우징의 온라인 인터페이스를 가지고 놀았지만 사이트를 시스템에 표시하는 페이지를 좁힐 수 없었습니다.

— DW
소스

3

모든 테스트가 실행되고 웹 마스터 도구가 확인되었습니다. AV를 설치하거나 업데이트하는 방법을 모르는 일반 일반 사용자는 아닙니다. 저는 15 년 동안 소프트웨어 및 웹 앱을 개발해 왔습니다. 사이트는 안전하고 모든 소프트웨어는 깨끗합니다.

어떤 종류의 서명 / 인증서가 자체 서명을 사용 했습니까? 또한 어떤 압축 유형이 실행 중인지 압축 유형이 iffy로 표시 될 가능성이 더 높습니다

78

@Andrew 정직하게, 만약 당신이 당신이 경험 한 경험이 있다면, "사이트는 안전하다"와 같은 진술은 완전히 불가능하다는 것을 알게 될 것입니다. 예 : 워드 프레스를 실행하고 있습니다. 워드 프레스 설치에 대한 수많은 제로 데이 익스플로잇이 수년 동안있었습니다. 또한 Google Adsense 광고를 실행 중이며 적어도 하나의 타사 Wordpress 플러그인을 사용하고있는 것 같습니다. 모든 당신이있어 고려 아마 잘하지만,이 사실을 당신이 무슨 말을하는지 모르겠 단지 기호 것을 알고 있음을 선언. 어느 쪽이든, (계속)

— David Mulder

21

Google 세이프 브라우징은 때때로 이상한 오탐을 주며 내 경험상 그들은 매우 빨리 고쳐지기 때문에 행운을 빕니다. 구글 세이프 브라우징 프로젝트는 비용이 많이 드는 것보다 더 많은 어려움을 겪었다 고 생각했지만 때때로 매우 짜증날 수 있습니다.

— David Mulder

10

@Andrew UPX는 맬웨어 포장에 가장 일반적으로 사용되는 패커이므로 UPX로 다운로드를 포장하면 경보가 울립니다.

— Michael Hampton

32

출처 최근 '바이러스 또는 스파이웨어'를 주장하는 다운로드를 삭제하기 시작했습니다.

"최근 2 일 동안 다운로드 창에서 '차단 : 바이러스 또는 스파이웨어가 포함되어있을 수 있습니다'라는 오류 메시지가 표시되어 일부 다운로드가 삭제되기 시작했습니다 . "

...

Firefox는 Google의 "안전 브라우징" 프로젝트 의 데이터를 사용 하여 웹 사이트 및 다운로드의 평판을 평가합니다. 예를 들어, Google은 종종 제공하는 데이터를 변경합니다. 예를 들어 실제 멀웨어 외에도 잠재적으로 원하지 않는 프로그램을 표시 할 수 있습니다.

앞으로 개발자는 블록을 재정의하고 파일을 가져 오는 옵션을 고려하고 있습니다. 보안에 민감한 변경 사항을 설계하는 데 시간이 걸리기 때문에 아마도 적어도 몇 달 전에 나타날 것입니다.

지금은 이러한 파일 블록이 "거짓 긍정"이라고 생각하고 파일이 실제로 안전하다고 생각되면 다음 중 하나를 수행 할 수 있습니다.

(1) 다른 브라우저를 사용하여 파일을 다운로드하십시오.

(2)이 보안 검사를 무시하는 다운로더 추가 기능을 사용하여 파일을 다운로드하십시오. 나는 다른 스레드에서 이것에 대해 들었지만 직접 시도하지 않았습니다 (그리고 이것을 신뢰할 수있는 추가 기능을 알지 못합니다!).

(3) 안전 브라우징 기능을 일시적으로 비활성화하여 파일을 가져온 다음 다시 켭니다. 옵션 대화 상자에 확인란이 있습니다.

"3 막대"메뉴 버튼 (또는 도구 메뉴)> 옵션> 고급

보안 탭에서 "보고 된 공격 사이트 차단"확인란입니다. 다른 확인란은 피싱 사이트와 관련이 있으며 다운로드에 영향을 미치지 않는다고 생각합니다.

소스 어떻게 내장 않습니다 피싱 및 맬웨어 방지 사용할 수 있습니까?

Firefox에는 내장 피싱 및 맬웨어 방지 기능이있어 온라인을 안전하게 보호 할 수 있습니다. 이러한 기능은 방문한 페이지가 합법적 인 사이트의 웹 위조 (“피싱”페이지라고도 함) 또는 컴퓨터를 손상 시키도록 설계된 공격 사이트 (또는 맬웨어라고도 함)로보고 될 때 경고합니다. 이 기능은 맬웨어로 탐지 된 파일을 다운로드하는 경우에도 경고합니다.

...

"내 사이트가 안전하다는 것을 확인했습니다. 목록에서 사이트를 제거하려면 어떻게해야합니까?"

공격을받은 사이트를 소유하고 있고 수리 한 후에 사이트가 잘못보고되었다고 생각되면 해당 사이트를 목록에서 제거하도록 요청할 수 있습니다. 그러나 사이트 소유자는 이러한 보고서를 철저히 조사 할 것을 권장합니다. 사이트를 눈에 띄게 변경하지 않고 공격 사이트로 전환 할 수 있습니다.

신고 된 피싱 사이트 목록에서 삭제를 요청하려면 Google에서 제공 한이 양식을 사용하십시오 .

보고 된 맬웨어 사이트 목록에서 제거를 요청하려면 stopbadware.org에서 제공하는 이 사이트를 사용하십시오 .

— DavidPostill
소스

1

고마워, 나는 그 형태를 시도 할 것입니다. 필터를 비활성화하거나 다른 브라우저 (?)를 사용하는 것은 해결책이 아니며 사용자가 완벽하게 깨끗한 파일을 잘못 고발하고 있기 때문에이 브라우저 나 해당 브라우저를 사용하도록 강요 할 수 없습니다. 유일하게 가능한 해결책은 제공자의 데이터베이스에서 오 탐지를 제거하는 것입니다.

7

@Andrew, 또한 파일을 virustotal 로 보내는 것이 좋습니다 . 아마도 일부 공급 업체가 프로그램을 맬웨어 (일반 서명)로 탐지하고 있음을 알게 될 것입니다.

— Ángel

19

@Andrew 불행히도 당신은 rant를 제출했을뿐만 아니라 그 안에있는 핵심 질문에 대한 답변을 거부합니다. 이 사이트는 결국 개인 헬프 데스크가 아닌 다른 사용자를위한 지식 저장소입니다.

GWT가이 문제를 "보안 문제"라는 별도의 섹션에 표시하고 URL에 "알 수없는 맬웨어"라는 레이블이 붙어 있음을 발견했습니다. 주 EXE에 UPX를 사용하지 않고 설치 프로그램을 다시 업로드 했으며이 문제를 해결하기 위해 검토를 친절하게 요청했습니다. 감사합니다.

2

Andrew가 설치 관리자가 UPX를 제거한 상태에서 맬웨어 테스트를 통과 한 경우 내 대답을 수락해야합니다.

19

많은 바이러스 스캐너가 패커 사용이 사실상 잘못된 증거라고 생각하기 때문에 자체 소프트웨어에서 UPX 사용을 중단해야했습니다. 압축을 푼 버전의 다운로드를 게시하고 경고가 사라지는 지 확인할 수 있습니다.

— 에릭 놀즈
소스

1

답입니까? 이것은 의견에 게시되어야합니다.

2

실제로 Avast는 UPX.exe를 "위협"으로 감지합니다. 그러나 압축 된 파일은 "깨끗한"것으로 간주됩니다. 만약을 대비하여 압축되지 않은 EXE로 새 설치 프로그램을 업로드했습니다.

15

Francisco : 왜 이것을 주석으로 게시해야합니까? OP의 질문에 대한 답변으로 명확하게 의도되었습니다.

6

@FranciscoTapia 이것은 정답이며 아마도 올바른 것입니다.

— Brad

1

여기서 좋은 질문은 완전히 논외이지만, 오늘 다운로드 속도로 2015 년에 UPX 또는 다른 EXE 패커를 사용하는 이유는 무엇입니까? 나는 크기를 줄이기 위해 EXE를 포장하는 것이 (더 이상 논쟁이 없다면) 누군가에게 도움이 될 수 있다고 생각할 수는 없다. 그렇게 할 때.

— trejder

12

링크 한 페이지에서 소스를 보았는데 질문이 생겼습니다. 사이트에 다음 스크립트 태그를 추가 했습니까? 아니면 누군가가 당신의 워드 프레스에 몰래 들어갔습니까?

<script type='text/javascript' src='http://www.andreszsogon.com/wp-content/themes/contango/lib/js/superfish/superfish-combine.min.js?ver=1.5.9'></script>

내가 하듯이 오히려 강하게 superfish에서 아무것도를 포함하면 얻을 것이라고 생각 당신은 구글의 안전 검색 데이터베이스에 의해 차단. 수퍼 피쉬의 평판이 나쁘다 는 것은 말할 나위도 없습니다 . 결국, 작년 말 노트북에 슈퍼 피쉬 소프트웨어를 포함시켜 레노버에게 어떤 일이 일어 났는지 살펴보십시오. 그들은 거대한 PR 타격을 받았습니다.

또한 AV 소프트웨어는 악성 PHP가 포함 된 모든 파일을 찾을 수없는 경우가 많습니다. 난 강력하게 수동으로 권합니다 (창 찾거나 잘으로 * 경우 귀하의 사이트가 실행되는 플랫폼이 될 수 있습니다 중 괜찬아 그렙) 속해과 그렇지 않은 파일에 대한 전체 워드 프레스 설치를 통해 검색 특히 PHP 코드가 들어있는 파일 특히 중첩 된 eval () 및 / 또는 base64_decode ()가 있습니다! 분명히 시스템의 일부가 아니며 예상되는 것을 발견하면 즉시 새로운 워드 프레스 설치를 시작하고 거기에 잘못된 파일이없는 경우 wp-content 디렉토리를 그 디렉토리로 이동해야합니다. 이 경우 처음부터 사이트를 시작하는 것이 가장 좋습니다. 다행히도 워드 프레스 사이트를 사용하면 매우 쉽습니다.

— Mce128
소스

15

그것은 바로이 Superfish jQuery 플러그인 일 수 있으며 우연히 이름이 붙여진 것처럼 보입니다.

— IMSoP

2

물론 Superfish jQuery 플러그인이 다른 Superfish와 이름의 유사성으로 인해 오탐 (false positive)을 생성하는 것만 큼 간단 할 수 있습니다. 인간이 그들을 차별화하는 데 어려움을 겪고 있다면 컴퓨터도 어려움을 겪을 수 있다는 것은 놀라운 일이 아닙니다.

— aslum

다른 사용자들이 말했듯이 스크립트는 Contango 테마의 간단한 JS 래퍼 부분이라는 제안에 감사드립니다. 또한 WordPress 설치에 문제가있는 경우 반드시 1-2 개가 아닌 모든 파일이 차단됩니다.

2

@Andrew 네, 절대적으로 템플릿 / 테마의 일부인 경우 사이트 전체에 문제가되지 않습니다. 아마도 사이트 주변을 한눈에 살펴보고 모든 페이지에 있는지 확인해야한다고 생각합니다. 종종 이러한 경험이 타협 될 때 종종 이상한 일이 단일 페이지에 주입됩니다. 분명히, 나는 거기에서 총을 뛰었습니다. 주로 그 교활한 소프트웨어와 이름을 공유하는 jQuery 플러그인을 알지 못했습니다. 아마도 루즈 인스톨러 였는지 아니면 추가 한 사람이 아니 었는지 궁금했습니다.

1

그래도 마지막 단락에서 설명한 내용을 확인하는 것이 좋습니다. 슬프게도, 나는 타협 된 워드 프레스 사이트를 가진 고객으로부터 전화를받을 때 매우 자주 그런 종류의 것들을 봅니다. 사이트 파일 내에서 다소 일반적인 패턴입니다. 사실, 대부분의 경우, 시스템 파일이 문자 그대로 수천 개에 달하는 외부의 불쾌한 파일 몇 곳에서 변경되었거나 소수의 시스템 파일조차 찾을 수 없습니다! 이 경우 파일 이름은 일반적으로 시스템의 일부인 것처럼 보이거나 횡설수설 이름으로 생성됩니다.

8

... UPX 압축기로 앱의 EXE를 압축했습니다 ...

~ 10 년 전 UPX는 바이러스에 의해 탐지되어 역 엔지니어링하기가 더 어려워졌습니다. 사실, 많은 안티 바이러스가 이제 기본적으로 모든 UPX 패키지 프로그램을 위협으로 간주하는 것이 일반적이 되었습니다 . 이것은 거의 확실하게 당신의 문제입니다.

실제로 두 가지 옵션 만 있습니다.

VirusTotal 을 사용 하여 소프트웨어가 맬웨어라고 생각하는 사이트를 확인하고 해당 회사에 프로그램을 오 탐지로 제출하십시오.
다른 방법으로 소프트웨어를 압축하십시오. 좋은 대안은 자동 압축 풀림 실행 파일 입니다. 의심스러운 난독 처리없이 소프트웨어 압축시 더 나은 작업을 수행해야합니다.

— BlueRaja-대니 Pflughoeft
소스

1

고마워, 그것은 매우 유용합니다. 실제로 내 AV는 UPX 컴프레서를 일종의 "위협"으로 감지했습니다. 모든 후속 버전에서 제거하겠습니다.

— andreszs

4

저는 20 세의 소프트웨어 애호가 웹 사이트를 운영하고 있으며 귀하의 문제도 겪습니다. 이 사이트는 2000 년경에 전성기를 보냈으며 현재는 아카이브로 기능합니다. 매년 약 3 번 Google 세이프 브라우징은 일반적으로 1999 년에서 2002 년경에 작성하여 업로드 한 새로운 "맬웨어"를 식별합니다. 아무도 10 년 이상 그것을 만지지 않았다는 것을 신경 쓰지 마십시오. 이 파일을 virustotal로 스캔하면 필연적으로 바이러스가 있음을 알 수 있지만 시만텍이나 다른 사람들과 같은 인기있는 바이러스 소프트웨어는 결코 바이러스에 감염된 적이 없습니다. 530 바이트 텍스트 파일

그래서 해결책은 무엇입니까? Google 세이프 브라우징이 판사, 배심원 및 사형 집행 인 인 경우 3 가지 옵션이 있습니다.

파일을 삭제하고 인생에서 다른 일을하십시오 (위생 권장)
파일의 내용을 급격히 변경하십시오 (일반적으로 변경 후 virustotal이 파일을 가져 오지 않으면 갈 수 있습니다)
로그인 뒤에 파일 다운로드 넣기

개인적으로, 나는 그다지 신경 쓰지 않을 것입니다. 다른 곳에서는 찾을 수없는 소프트웨어를 삭제해야 할 때 슬프다는 것을 알았습니다.

— 리퍼
소스