为什么 Google 安全浏览会不断检测我网站上的恶意软件?

信息安全 恶意软件 谷歌 安全浏览过滤器
2021-08-14 10:30:54

我们提供免费增值服务来上传大文件并稍后下载。

使用ClamAV,我们在每个文件上传后和下载前扫描每个文件是否有病毒。如果发现病毒并返回 HTTP 404,则会删除该文件。

谷歌安全浏览仍然在我们的网站上检测恶意软件

...最后一次在此站点上发现可疑内容是在 2015-08-30...

(这是昨天写的)。

虽然我的日志显示不时检测到病毒/恶意软件,但我还看到这些文件被下载零次,并且按预期自动删除

我已通读“ Google 安全浏览服务依赖于哪些工具? ”以及链接资源。

我仍然不确定为什么我不能让我的网站成为“谷歌安全浏览干净”。或许:

  • 使用的病毒扫描程序不够好,让一些病毒通过?
  • 由于我对安全架构的了解有限,我犯了根本性的错误?

我的问题:

您是否知道该怎么做才能获得干净的 Google 安全浏览轨道?

(如果这完全可能,甚至DropboxGoogle本身都列在那里)

更新1:

正如施罗德所说,我们网站上可能还有其他内容,而不是文件。我们还提供 Windows 和 Mac 客户端。这些文件都被扫描并检测为无病毒。

我糊涂了…

更新 2: (2015-09-24)

我已经在有问题的服务器上安装了“Sophos Server Security”,现在看到大量恶意上传被 Sophos 删除。

所以 ClamAV 的检测率似乎比 Sophos 的低很多。

希望在这个新的反病毒解决方案的帮助下,我的服务器再也不会成为病毒源。

2个回答

您可能会想到几种情况。我不会详尽无遗,但我会简要提及我想到的里程碑:

  • 您的网站非常干净

    让我们假设您的网站正如您所说的那样干净。那么为什么谷歌仍然将它列入黑名单呢?

    这种情况可能有几个原因:

    1. 原因 #1

      谷歌现在实际上没有发现你的网站有任何问题,但它仍然不信任你,因为它无法理解你的意图,因为你可能是想要攻击你网站访问者的人,所以谷歌需要时间来确保你是不要只是假装你暂时没有攻击任何身体而玩游戏,但是一旦谷歌将你列入白名单,你就会回到你的邪恶习惯(这就是说,我不是在指责你攻击别人通过你的网站,我只是说即使你的网站暂时无害,为什么谷歌仍然不信任你)

      1.1。原因 #1 的解决方案

      您需要在不同的日子里使用Google 网站管理员工具扫描更多次,直到 Google 相信您的更改(清理)是永久性的。

    2. 原因 #2

      Google 认为您已经从恶意内容中清除了您的网站,但您并没有真正完成该任务,因为您没有向它 (Google) 请求恶意软件审查。

      2.1。原因 #2 的解决方案

      清理网站后,请求 Google 进行审核。

    3. 原因 #3

      您清除了受感染网页中的恶意内容,并提交了来自 Google 的审核请求,但仍然不信任您。

      3.1。原因 #3 的解决方案

      您需要删除这些页面,而不仅仅是它们的恶意内容。是的,这是一个激进的解决方案,但在这种特殊情况下,这是唯一能让 Google 信任您的解决方案,因为 Google 会认为您有意使用这些页面来攻击您的客户,这就是您将它们留在那里的原因。

  • 您的网站并不像您想象的那么无害

    1. 您的域充当了传递恶意软件的桥梁

    谷歌表示,在过去的 90 天里,zeta-uploader.com 似乎没有充当感染任何网站的媒介。 但是考虑到上面讨论的内容,你不得不不相信这个说法。

    1.1。为什么 Google 没有将我的域检测为恶意中介?

    有几个原因可以解释为什么 Google 未能检测到这一点:

    • 攻击者将您网页中的链接混淆到使用偷渡式下载攻击进行攻击的域(由 Google 报告的有关您的网站的攻击)。
    • 另一个原因是谷歌检测到混淆链接但无法跟踪和确定中间域的恶意链
    • Google 发现了指向恶意域的模糊链接,但攻击者经常将此类链接替换为 Google 难以检测到的新链接,因此无法确定该采取什么决定

    1.2. 那该怎么办?

    除了自己手动搜索此类链接之外,我对这种情况没有太多想法,或者如果可能的话,对您的网页进行哈希处理并开发文件/目录修改通知。

  • 我现在的真实情况如何?

它不是那么好。Google 访问此站点时发生了什么?,谷歌说你有: 恶意软件包括 96 个木马、14 个漏洞利用程序、5 个后门程序。并且这3 个页面导致恶意软件在未经用户同意的情况下被下载和安装(偷渡式下载攻击)。

只有后门可以解释您网站的真实情况。

那有什么解决办法呢?

这太宽泛了,因为您是网站的所有者,您知道其安全架构,因此您是唯一可以评估并根据您可能遇到的不同场景/发现做出决定的人。您可以从检查以下内容开始:Google 网站管理员帮助被黑网站,并查看使用哪种方法来发现、删除和缓解您域中的后门...不要忘记查看与文件上传相关的脚本...

祝你好运。

附言

您链接到的问题是一年前我在开发软件时提出的,该软件用于网络漏洞扫描程序以检测网站上的偷渡式下载攻击和恶意内容。

为什么 Google 安全浏览会不断检测我网站上的恶意软件?

可能是因为此站点上存在或曾经存在恶意软件。

我们提供免费增值服务来上传大文件并稍后下载。

不幸的是,这些服务很容易被任何喜欢传播恶意软件的人滥用。他们正在寻找(尚未)在某种黑名单中的服务,因此他们的恶意软件可以达到目标的机会更高。允许更大文件的服务可能特别有吸引力,因为许多商业防火墙供应商严格限制他们扫描的文件的大小并让其他所有文件通过。典型限制仅为 1..15MB。

使用 ClamAV,我们在每个文件上传之后和下载之前扫描每个文件是否存在病毒。

虽然 ClamAV 是免费的,但与更好的商业防病毒解决方案相比,它的检测率并不是很好。原因之一是恶意软件作者可以轻松调整其恶意软件以绕过 ClamAV 使用的检测算法,因为这些算法是众所周知的(开放软件)。此外,ClamAV 依赖社区来开发产品并使其保持最新状态,并且不像商业供应商那样拥有人力和应对新威胁的能力。

但是商业供应商也错过了很多新的恶意软件。要检测大多数恶意软件,您最好结合多个引擎并对其进行调整,以便它们更喜欢误报而不是让某些恶意软件通过。您还可以检查病毒总数。

您还应该严格限制允许上传的文件类型,并且不允许任何通常包含恶意软件的类型。这包括任何类型的可执行文件,还包括办公文档或 PDF 文件。由于此类限制可能很容易使您提供的服务不适合多个用户,您至少可以尝试通过在下载文件之前要求用户手动操作来限制此类文件的影响,即告知用户可能存在的危险并要求某种形式验证码或单击复选框以继续。这样,您的服务就不能用于驱动下载,因为内容不能直接从链接下载,但需要用户明确操作。如果操作正确,机器人将不会看到任何剩余的恶意软件,因为需要手动操作才能获取文件(但请注意:

其它你可能感兴趣的问题
上一篇家庭银行、防病毒安全环境或虚拟机上的 Linux? 下一篇Truecrypt 还安全吗?