web-dev-qa-db-ja.com

Googleセーフブラウジングが私のウェブサイトでマルウェアを検出し続けるのはなぜですか?

大きなファイルをアップロードして後でダウンロードするためのフリーミアムサービスを提供しています。

ClamAV を使用して、ファイルがアップロードされた後、ダウンロードされる前に、everyファイルをスキャンしてウイルスを検出します。ウイルスが見つかり、HTTP 404が返された場合、ファイルは削除されます。

それでも、Googleセーフブラウジングはサイト上のマルウェアを検出し続けます

...このサイトで不審なコンテンツが最後に検出されたのは2015-08-30です...

(執筆時点では昨日)

私のログはウイルス/マルウェアareが時々検出されたことを示していますが、これらのファイルはゼロ回ダウンロードされ、期待どおりに自動的に削除されていることもわかります。

" Googleセーフブラウジングサービスはどのツールに依存していますか? "とリンクされているリソースを読みました。

それでも、なぜ自分のサイトを「Google Safe Browsing clean」にすることができないのかわかりません。多分:

  • 使用したウイルススキャナーは十分ではなく、一部のウイルスを通過させますか?
  • セキュリティアーキテクチャに関する知識が限られているため、根本的な間違いをしていますか?

私の質問:

クリーンなGoogleセーフブラウジングトラックを取得するために何をすべきか考えていますか?

(これが可能な場合でも Dropbox または Google 自体がそこにリストされています)

更新1:

Schroederが言うように 、私たちのサイトにはファイルではなく他のコンテンツがあるかもしれません。また、WindowsおよびMacクライアントも提供しています。これらのファイルはすべてスキャンされ、ウイルスのないものとして検出されます。

よくわかりません…

更新2:(2015-09-24)

問題のサーバーに「Sophos Server Security」をインストールしましたが、ソフォスによって大量の悪意のあるアップロードが削除されているのを目にしました。

したがって、ClamAVの検出率はソフォスの検出率よりもはるかに低いようです。

うまくいけば、この新しいウイルス対策ソリューションの助けを借りて、私のサーバーがウイルスソースとして機能することは二度とありません。

malwaregooglesafe-browsing-filter
4
Uwe Keim

Googleセーフブラウジングがウェブサイトでマルウェアを検出し続けるのはなぜですか?

このサイトにマルウェアが存在したか、マルウェアが存在したためと考えられます。

大きなファイルをアップロードして後でダウンロードするためのフリーミアムサービスを提供しています。

残念ながら、この種のサービスはマルウェアの拡散を好む人に簡単に悪用されます。彼らは、(まだ)ある種のブラックリストに含まれていないサービスを探しているため、マルウェアがターゲットに到達する可能性が高くなります。多くの商用ファイアウォールベンダーがスキャンするファイルのサイズを厳しく制限し、他のすべてを通過させるため、より大きなファイルを許可するサービスは特に魅力的です。通常の制限は1..15MBのみです。

ClamAVを使用して、アップロード後、ダウンロードが可能になる前に、すべてのファイルのウイルスをスキャンします。

ClamAVは無料ですが、その検出率は、より優れた市販のウイルス対策ソリューションと比較してあまりよくありません。 1つの理由は、ClamAVが使用する検出アルゴリズムは公開されているため(オープンソフトウェア)、マルウェアの作成者がマルウェアを簡単に調整して、ClamAVが使用する検出アルゴリズムをバイパスできるためです。また、ClamAVはコミュニティに依存して製品を開発し、最新の状態に保ちます。また、商用ベンダーが行うような人的資源や新しい脅威へのアクセスがありません。

しかし、商用ベンダーも多くの新しいマルウェアを見逃しています。ほとんどのマルウェアを検出するには、いくつかのエンジンを組み合わせて調整し、マルウェアを通過させるのではなく、より多くの誤検知を優先させるようにします。 virustotalで確認することもできます。

また、アップロードを許可するファイルのタイプを厳しく制限し、通常マルウェアを含むタイプは許可しないでください。これには、あらゆる種類の実行可能ファイルが含まれますが、OfficeドキュメントまたはPDFファイルも含まれます。このような制限により、提供するサービスが複数のユーザーに不適切になる可能性があるため、少なくともそのようなファイルの影響を制限しようとする可能性があります。ファイルをダウンロードする前にユーザーの手動操作を要求することにより、つまり、起こり得る危険をユーザーに通知し、何らかのキャプチャを要求するか、チェックボックスをクリックして続行します。この方法では、サービスがドライブバイダウンロードに使用できません。コンテンツをリンクから直接ダウンロードすることはできませんが、ユーザーによる明示的なアクションが必要です。適切に実行すると、ファイルを取得するために手動のアクションが必要になるため、ロボットは残りのマルウェアを表示しません(ただし、一部のロボットはJavaScriptを実行し、チェックボックスをクリックできる場合があります) )。

6
Steffen Ullrich

あなたが考えるかもしれないいくつかのシナリオがあります。徹底的に説明するつもりはありませんが、頭に浮かぶ可能性があるマイルストーンについて簡単に説明します。

  • あなたのウェブサイトは事実上きれいです

    あなたが言うようにあなたのウェブサイトがきれいだとしましょう。では、なぜGoogleはまだブラックリストに載せているのでしょうか。

    この状況にはいくつかの理由が考えられます。

    1. 理由#1

      あなたのウェブサイトの訪問者を攻撃しようとしている可能性があるため、あなたの意図を理解できないため、Googleはあなたのウェブサイトに何も問題がないことを事実上発見しませんでしたが、それでもあなたは trust しません。 、そのため、Googleは、現時点で身体を攻撃していないふりをするだけで、頭の中でゲームをプレイしていないことを確認する時間が必要です。Googleがホワイトリストに登録するとすぐに、悪質な習慣に戻ります(これは言われています、私はあなたがあなたのウェブサイトを通じて人々を攻撃したと非難していません、私はあなたのウェブサイトが今のところ無害であってもGoogleがまだあなたを信頼しない理由を私は言います)

      1.1。 理由#1の解決策

      変更(クリーンアップ)が永続的であるとGoogleが信頼するまで、さらにスキャンする必要があり、別々の日に Googleウェブマスターツール を使用する必要があります。

    2. 理由#2

      悪意のあるコンテンツからWebサイトをクリーンアップしたとGoogleは考えていますが、マルウェアのレビュー(Google)から要求していないため、実際にはそのタスクを完了していません。

      2.1。 理由#2の解決策

      ウェブサイトを削除したら、Googleにレビューをリクエストしてください。

    3. 理由#3

      感染したウェブページを悪意のあるコンテンツから削除し、Googleからの再審査リクエストを送信しましたが、まだ信用できません。

      3.1。理由#3の解決策

      悪意のあるコンテンツだけでなく、それらのページを削除する必要があります。はい、これは根本的な解決策ですが、この特定のケースでGoogleに信頼してもらう唯一の方法は、クライアントを攻撃するためにそれらのページを使用するつもりであるとGoogleが考えているためです。

  • あなたのウェブサイトはあなたが思うほど無害ではありません

    1. ドメインがマルウェアを配信するためのブリッジとして機能しました

    Googleによると、過去90日間、zeta-uploader.comはどのサイトの感染の仲介者としても機能していないようです。しかし、上記のことを考えると、この声明を信頼する。

    1.1。 Googleが私のドメインを悪意のある中間ドメインとして検出しなかったのはなぜですか?

    Googleがそれを検出できなかった理由を説明するいくつかの理由があります。

    • 攻撃者は drive-by download 攻撃を使用して攻撃するドメインへのリンクをWebページ内の難読化します(Webサイトに関してGoogleから報告されています)。
    • もう1つの理由は、Googleが難読化されたリンクを検出したが、中間ドメインの悪意のあるチェーンをたどって判断できないことです。
    • Googleは悪意のあるドメインへの難読化されたリンクを検出しましたが、攻撃者はそのようなリンクを頻繁に新しいものに置き換えます。これは、Googleが検出するのが難しいため、どの決定を行うかわからない場合があります。

    1.2。 次に何をしますか?

    このようなリンクを自分で手動で検索すること、または可能であればWebページをハッシュしてファイル/ディレクトリの変更通知を作成することを除いて、私はこの状況についてあまり考えていません。

  • 私の実際のケースの状況はどうなっていますか?

それは良くありません。セクション Googleがこのサイトにアクセスしたときに何が起こりましたか?、Googleはあなたが持っていると言っています:悪意のあるソフトウェアには、96個のトロイの木馬、14個のエクスプロイト、5個のバックドアが含まれ、 3ページにより、悪意のあるソフトウェアがダウンロードおよびインストールされることなく、ユーザーの同意(ドライブバイダウンロード攻撃)。

あなたのウェブサイトに実際に起こったことを説明できるのはバックドアだけです。

次に解決策は何ですか?

あなたはウェブサイトの所有者であり、そのセキュリティアーキテクチャを知っているので、これは広すぎて答えられません。そのため、それを評価して、発生する可能性のあるさまざまなシナリオ/発見に応じて決定を下せるのはあなただけです。まず、これをチェックすることから始められます: ハッキングされたサイトのGoogleウェブマスターヘルプ で、ドメインのバックドアを検出、削除、軽減するために使用する方法を確認してください...ファイルのアップロードに関連するスクリプトを確認することを忘れないでください...

幸運を。

追伸.

あなたがリンクした質問ですが、ドライブバイダウンロード攻撃とWebサイト上の悪意のあるコンテンツを検出するWeb脆弱性スキャナーのためのソフトウェアを開発している1年前に質問しました。

8
user45139