Google安全浏览突然在我的网站上发现病毒。 [WNC-611600]在站点上检测到恶意软件或有害软件……(不存在,稍后证明)。
该网站的访问者会看到一个全屏的红色窗口,其中包含该网站包含恶意软件的文本,该网站的作者试图将这些程序欺骗到您的计算机中,以更改主页或在网站上显示其他广告(所有这些都是诽谤的形式)。
用户离开网站运行,因为他们相信写在红屏上的所有内容。 而且我不怪他们。 他们所处的任何人都将这样做。
误报 防病毒错误!它发生了。 我们现在写信给Google,他们会解决的,正义将立竿见影。
实际上,一切都变得更加复杂,伸张正义的道路是棘手的,并且由于不正确的行动而浪费了时间和金钱。
但这不是最坏的情况。
问题在于该错误不是孤立的错误。 我不仅遭受痛苦。 Google无法完全修复它。 至少现在。
因此,了解的人越多越好。
也许Google上的重要人物会阅读,致电并说:
-抱歉,迪玛! 我们不能。
(只是我的梦想,我不相信自己)括号中是我的内心声音,它与所有内容都不相同,并且总是想使用粗俗的语言。 为此,我事先表示歉意。让我们按顺序弄清楚。
什么是Google安全浏览?
自2007年以来,Google安全浏览(GSB)一直在保护全球30亿台设备(计算机,电话)达12年之久。
许多人对此一无所知,因为他们
从未在计算机上
安装过这样的程序 。 而且这不是必需的,因为GSB会自动安装在Chrome及其克隆,Firefox和Safari中。 令人印象深刻的是30亿。
GSB不是浏览器加载项,而是隐藏在其设置中,这并不那么容易获得。
在Firefox中,找不到Google安全浏览。 尽管默认情况下它已安装并处于活动状态。
在Firefox的设置中,安全性有一个选项“阻止危险和欺骗性内容”。 在此题词的后面它是隐藏的。
看起来Firefox本身正在保护某些东西,尽管事实并非如此。 Firefox开发人员可以随时更改其防御者,例如,在Yandex Safe Browsing上。
该浏览器具有内置代码,可以与安全浏览系统交换数据,并使用从GSB接收的表格来检查URL和文件的哈希。 根据结果,浏览器将阻止访问并显示红色图片。
GSB完全控制谁阻止谁,谁不
阻止谁。 浏览器会执行他们所说的一切。
微软有自己的对手-Smart Screen,它在我的网站和程序中没有发现任何问题。
Smart Screen内置于Internet Explorer和Edge中,其份额远小于Chrome。
现在是侦探!
故事始于2018年11月30日清晨。
我收到了来自Google Search Console的电子邮件
[WNC-611600]在站点上检测到恶意软件或有害软件...这是一个错误! 我以为
因为这是我的网站,并且我的文件被标识为恶意文件。
当我吃早餐时,第二个网站也出现了相同的字母,发现的“恶意”文件数量也有所增加。
我要上班了
检查文件。 所有签名均经过数字签名,通过下载它们,我确信签名是有效的。 签名不是新的,是一年多以前发行的。
所有找到的文件都有不同的日期,但不是很旧-从一周到一个月不等。
仔细检查后将它们上传到Virustotal。
干净!我创建Windows程序已有20年了,在这段时间里发现了错误的防病毒软件。
我想:“嗯,不是一开始。”
在Google的来信中,他们建议发出上诉,我立即提出了上诉。
两个小时后,答案来了,
上诉被驳回了 。
而且没有答案。
在下一封信中,Google宣布已封锁网站的整个域以及所有指向文件链接的页面。
他的操作逻辑显然如下:如果该页面包含指向恶意文件的链接,则该页面被认为是恶意的。 如果链接位于网站的主页上,则为整个域。
当他们进入站点时,用户会看到一个可怕的全屏红色窗口:“前面的站点包含有害程序”。
下载文件时,该文件被标记为恶意文件,原则上您可以将其打开,并多次确认我确定要打开该文件。 我认为该网站的至少一位普通用户不会这样做。
签名被盗?
我进行了一些实验:我使用另一个证书(EVO,令牌上的签名)对文件签名,在C ++ Builder中创建了一个空项目,对其进行了组装,对文件进行了签名,并将其上传到了站点。
Google认为它是一种病毒。从中得出的结论是,他现在认为该域中的所有文件都是恶意的,
是在一定时间后创建的 。
Google认为一个月前的旧文件是完全干净的。
我知道根本没有改变(我没有在其中添加病毒)。
同样令人尴尬的是,这种检测是某种选择性的。 出于某种原因,Google认为该程序的标准版本具有病毒性,而纯金软件却是纯金的(
可能是金牌可以防御病毒 )。
一切看起来都很奇怪。
在Google的来信中,他们建议在Google论坛上创建一个主题。我做到了
作为回应,我从一个秘密主持人那里收到一条消息,说他一天之内已经看到了第三起此类案件。
我查看了论坛,并从主持人那里找到了许多答案。 该同志试图提供尽可能多的帮助(
提供了无用的建议 ),但他没有在Google工作,也没有真正的帮助。 但是其他受害者开始在该主题中注册。
原来我并不孤单!链接到Google论坛 。
我开始在Google网站站长论坛上搜索类似的案例,并以一个圆满的结局找到了去年。 它甚至收到了一位“可能是Google员工”的回应,建议
通过“发布问题”功能直接从
Chrome发送所有误报。
我给他答案:
Sergey_Semenov:
如果在控制台中进行检查后仍无济于事,请从浏览器(Alt + Shift + I)发送Chrome问题报告,说明您是一家不错的白帽子公司,并且文件绝对干净。 这显然对我们有帮助,因为我们在Chrome问题报告后不要求再次审核就将Google控制台中的所有问题都消失了。
以有关有害程序和网站的通知的形式报告错误,这有点奇怪。 但是Chrome或GSB网站上没有单独的误报表单。
Google可能认为它们没有错误(
没有字 )。
夜晚令人震惊。 (
实际上,情况更糟。我想过要怎么做。如何生活。嗯,至少这个孩子已经长大了 )
受害者人数有所增加。 他们是Windows程序的制造商,并在某种程度上与
Delphi编程环境有联系,这使所有人团结一致。
德尔福漏洞?(
我不认为... )
受害者的不完整列表:Greatis软件(RegRun,UnHackMe,BootRacer),踏板车软件(超越比较),IBE软件(HelpNDoc),Blumentals软件(HTMLPad,WeBuilder,RapidPHP),平衡计分卡软件(BSC设计器),SpamBully,Gillmeister软件(重命名专家),自动运行管理器(Chemtable)...
十分之九使用了用Delphi编写的Innosetup安装程序。 其中一个使用了Nullsoft。 所有文件均使用公司的数字签名签名。
每个人的业务范围都不同,但彼此和平:PHP编辑器,存档器,文件比较程序,Power Point附加组件,启动管理器,帮助文件创建程序。
我自己不做广告,但是我有一个程序可以删除病毒(
很容易将病毒和防病毒混在一起 )。
其他作品在世界各地的一些大公司(欧洲议会,西部数据,大都会警察,银行等)中工作。 可能会导致大麻烦。
先前已知带有Delphi和Inno Setup的选项。
令人尴尬的是,受害人数虽然有所增加,但并不是全球性的。 世界上有许多公司在使用Delphi Inno Setup安装程序和程序。
他们为什么不受苦?
考虑到这个问题,我开始“清理”网站,删除指向恶意文件的链接。 有几个下载档案,您可以从中下载相同的文件,而Google却没有。
GSB的所在地很糟糕。 他们也被标记了。 我在Fileforum.com上的程序页面出现红色屏幕。 Download.com只是封锁了我公司的帐户,并从其网站上删除了所有程序。
Name.com(IBM的一个部门)已拒绝访问该域的DNS服务器。 这是很难立即修复的损坏。
我清除了链接的站点。 已将程序链接发送到Google。
瞧!将所有文件发送给GSB的第二天,这些站点就被送去审核,Google撤回并删除了所有索赔。
所有文件变得干净如泪。 不论新旧!还有其他所有受害者!
我们恢复了生活,
开始工作(
开始快乐地生活,一天没有死 )。
如果...的话,一切都会好起来的。
一周后,我发布了该程序的新版本,并在2小时后将其检测为恶意软件!这是沉重的打击(
我坐下然后躺下 )。
我很快恢复了旧版本。 提交审查。 早晨,一切都清除了。
从那时起,我会不断执行此过程,然后再上传新版本:
- 我将新文件放在站点上的新目录中。
- 通过Chrome发送“报告问题”链接。
- 我等了几个小时。
- 我将新版本发布到新站点上。
我再也没有旅行了。
1月30日,一名受害者再次复发 。
他在邮件中给我写信,我们在一起解决了大约一天的问题。 2月,该程序的另一位作者遇到了同样的问题。 我在RSDN上看到了。
误报问题没有得到解决(而且没人会解决)。现在有什么事会影响您的余生?
如果您也很不走运,请尝试此操作。
根据个人经验采取的行动方法:- 不要试图立即通过Google Search Console提出异议。 您可能会浪费时间并增加损失。
- 清理Google从站点中找到的文件。 如果您离开,损坏可能会更大。
- 如果有旧版本的文件,请还原它们。 如果没有,请查看您的文件在Internet上的托管位置,Google不会禁止它们。 将流量发送到那里。
- 通过Google Search Console提交清理后的网站以进行审阅。
- 将您的可疑文件(新目录,另一个站点)上载到新位置,并通过“报告问题”发送指向错误定义的文件的链接。 新的Search Console具有相同的链接。 因此Chrome是可选的。
- 在GSB和Google Search Console之间的2小时内等待借口。
- GSB将没有任何回应。
您可以通过搜索站点来检查链接的状态。第一个结论:上诉制度的建立非常糟糕
(
您应为所有事情负责,为什么,在什么情况下,我们不会告诉您! )
缺少
报告误报表格。
例如,微软有一个。 答案来自他们。 不是取消订阅,而是测试结果及其采取的措施。 GSB没有提供答案。
我发现,在美国,人们可以使用Google的支持(这并不容易),并且可以在论坛上获得相同的建议。 Google没人会提供帮助和解答。
Google员工参加了该论坛,并且很可能会阅读(已验证阅读)。
但是他们很少回答。 最近-从来没有。
(
和自己和墙上交谈并不是一种好感觉 )
上诉响应时间过长。可能需要一两天。
每个人(尤其是Google)都坚信GSB的裁决 。
(
这样您就不会自己洗! )
如果有GSB的诊断,一切都会在Google上阻止您:网站,Youtube,邮件等。
GSB读取和Gmail。 尚不清楚它可以做什么以及如何反应(
如果消息中包含病毒名称,我会阻止它们被发现。也就是说,它在文本中发现了病毒。这是一项很高的成就! )
因此,按照我的想法,他们拒绝审查。 如果有GSB判决,您所说的一切都会被忽略。 同样令人遗憾的是,您永远不会知道拒绝的原因,因为Google不会进行举报。 (
Google发送标准回复称您犯有违反一切的罪行 )
让我们弄清楚GSB判决的依据。
原来是个谜!
同样由Google拥有的Virustotal的结果可能与GSB的决定完全矛盾。
你知道GSB杀毒软件吗? 不行吗 我没有。 而且没有Google安全浏览杀毒软件!
GSB是针对其自身的数据库检查文件的URL或哈希值。
在您到达站点之前,没有人实时分析该站点。
没有人在此站点上查看JS脚本或文件。
只是不时的浏览器会在您的计算机上下载数据库并进行本地检查。
GSB更有可能对行为做出反应。
出现了一个新文件,他不知道该文件,并且系统紧张。
他们开始从该站点下载比平时更多的内容-这已经很危险。
并且,如果同一文件位于“不良”网站上,例如海盗?
(
当然,是病毒 )
但是原因很普遍。 只是该程序的新版本。 并且他们开始下载更多。
对于GSB,通常情况下,如果您使用一个链接下载文件,就会被感染。 从另一个链接下载相同的文件-清理。
惊讶吗
我也是
这表明链接被放置在数据库中而不检查其内容。(
基于机器人的假设 )
这通常发生在启动GSB斗牛犬的初始阶段。 然后,牛头犬完全打开,并将文件的哈希添加到数据库中。 之后,从哪个URL下载文件都没有关系。 它随处可见。
同时,没有一个人以99%的概率分析文件。
然后,牛头犬进入下一阶段。 他开始在网站上标记所有类似文件。 它通过对文件进行数字签名来标记文件(如果有)。
我通过创建一个空项目并将其编译为exe文件来测试此过程。 该签名文件被检测为恶意文件。 最后阶段:检测到该域中的所有文件均为危险文件。
斗牛犬行动的逻辑很明确:抓紧并停止分发文件。
从检测的历史记录来看,很明显问题始于URL检测(未检测到文件的哈希)。 然后,检测范围扩大到该站点中的任何新文件都被视为恶意文件。
该检测完全是基于“未知原理”的机器。
无论如何,所有这些都以一定程度的概率被称为“启发式”。
这种系统的结论不应是病毒,而可能是可疑的。
为什么旅行会同时出现在许多人身上,却从未出现过?我的猜测是,GSB中出现了一些问题,例如,它训练了一个神经网络。
神经网络发现相似的文件。 不幸的是,事实证明我们的文件与某种病毒相似。
GSB认为有充分理由将犯罪归咎于此。
然后默默地消除他们的错误,并愉快地报告他们发现了多少病毒。
(
如果法院按照这样的方案工作,那么明天任何人都可以入狱 )
小孩子受苦
所有受害者都是小公司,他们很难起诉Google。 显然,它们在白名单中有很多。 (
您可以忽略小孩子 )
据我了解,目前,唯一可以帮助Google的就是根据请求从错误列表中删除网址和哈希。
GSB可能是如此出色,以至于击败了全世界的恶意软件?
不是那样的
多年来,我一直在使用恶意软件访问相同的网站,而且感觉很好。 GSB拥有的命令数也无法说服我。 马尔瓦尔犬易于繁殖。
检查也从本地下载的特定数据库的想法意味着一定的时间延迟。
(
已经捕获,然后下载了该库 )
第二个结论:不要依靠GSB来保护和保存
在这里,需要完全不同的手段。
Google为什么需要与病毒作斗争?
这些GSB团队的工作是什么?
使世界变得更美好?
还是获得有关用户访问的网站的信息?
Google保证仅在客户端上而不是在服务器上通过散列和本地检查站点的URL。 并仅使用哈希而不是完整网址将请求发送到Google服务器。
www.chromium.org/developers/design-documents/safebrowsing在Firefox中的工作方式:
support.mozilla.org/zh-CN/kb/how-does-phishing-and-malware-protection-work但是,仅散列使用的GSB有什么用?
可能是因为Google还是一家扫描整个Internet的公司,并且拥有一个数据库,可以在其中轻松找到哈希值,从而接收所访问站点的URL并对其进行分析。
Google披露了什么。因此,即使未在网站上安装Google Analytics(分析),Google仍可以接收网站的行为特征。 所有数据均由GSB完全免费提供。
尽管有专门针对“好的”应用程序的规则,但在安装Chrome时,没有“启用安全浏览”复选框,并且对于任何人来说,Chrome都会向GSB发送信息并不明显。
(
我个人的结论是,GSB并不是对邻居无私的关注 )
但是我希望GSB在其行为责任方面至少遵循公认的标准,对过程中的所有参与者(用户,网站所有者,软件制造商)开放并易于理解。
(
请不要生气! )