Perché Norton Safe Web segnala il mio sito come pericoloso quando segnala su file PHP / URL che non esistono?

3

Sono un po 'in imbarazzo sulla valutazione di Norton Safe Web sul sito web della mia azienda.

La mia domanda è: qualcuno può ingannare Norton Safe Web pensando che il nostro sito web abbia file PHP che non esistono? Potrebbe esserci qualche tipo di Spoofing in corso o qualcuno potrebbe manipolare uno strumento Norton sul proprio computer per comunicare a Norton Safe Web che il nostro sito contiene file dannosi?

Ospitiamo il nostro sito Web sul nostro server Web interno e abbiamo firewall configurati correttamente fino al livello 7. Mcafee esegue la scansione del nostro sito ogni giorno per rilevare eventuali vulnerabilità e non ha trovato alcun file di questo tipo e il Rapporto sulla trasparenza di Google non segnala alcun problema .

Nessuno dei collegamenti minacciati segnalati esiste o (a mia conoscenza) sono mai esistiti sul nostro sito web. Abbiamo smesso di utilizzare PHP molto tempo fa, eppure Safe Web li segnala sul nostro sito web.

Ho incluso il rapporto sulle minacce di seguito. Ho solo sostituito il mio sito web con "MYWEBSITE" e rimosso HTTP e WWW in modo che non pubblicasse come link:

Drive-By Downloads: Threats found: 5

Threat Name: Web Attack: Wordpress Arbitrary File Download 4 Location: MYWEBSITE.com/wp-content/themes/TheLoft/download.php?file=../../../wp-config.php

Threat Name: Web Attack: Wordpress Arbitrary File Download 4 Location: MYWEBSITE.com/wp-content/plugins/history-collection/download.php?var=../../../wp-config.php

Threat Name: Web Attack: Wordpress Arbitrary File Download 4 Location: MYWEBSITE.com/wp-content/plugins/google-mp3-audio-player/direct_download.php?file=../../../wp-config.php

Threat Name: Web Attack: Joomla Component Local File Inclusion Location: MYWEBSITE.com/news/index.php?option=com_macgallery&view=download&albumid=../../web.config.txt

Threat Name: Web Attack: Wordpress Arbitrary File Download 4 Location: MYWEBSITE.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

Viruses: Threats found: 1

Threat Name: Web Attack: Joomla Component Local File Inclusion Location: MYWEBSITE.com/news/index.php?option=com_macgallery&view=download&albumid=././web.config.txt

Notate che sono tutti PHP e menzionano WordPress e Joomla, NONE di cui non abbiamo né utilizzato.

Siamo in procinto di contestare la relazione con Norton, ma questa è la seconda volta che ciò è accaduto e il processo di contestazione richiede un po 'di tempo. Nel frattempo alle persone viene detto che il nostro sito Web non è sicuro e stiamo perdendo clienti. So che non c'è altro che posso fare per accelerare il processo con Norton, ma mi piacerebbe capire come ciò sia possibile e vorrei poter evitare che questo tipo di cose si ripresenti in futuro.

Quindi in sintesi , quello che sto cercando di capire è: è possibile che Norton Safe Web sia stato indotto a fornire un falso rapporto sul nostro sito, o è l'unica possibilità che qualcuno metti un file sul nostro sito in tempo utile affinché Norton lo scannerizzi e lo tolga prima che lo trovassimo?

Apprezzerò molto ogni input. Grazie!

    
posta Hawkeye 29.02.2016 - 23:57
fonte

1 risposta

2

Questo è un falso positivo di Norton Security / Safeweb. Il loro motore di scansione delle minacce è difettoso quando gestisce le risposte da questi URL "compromessi", che nei sistemi vulnerabili possono causare danni. Il problema è che interpretano la risposta in modo errato, quindi i siti che non hanno PHP / WordPress ecc vengono contrassegnati per errore. Ciò è estremamente dannoso per la buona volontà dei clienti, naturalmente. E non rendono facile o veloce contestare. Inoltre, non notificano il proprietario del dominio (almeno nella nostra esperienza), così spesso il primo a segnalare viene da un cliente. Nel nostro caso, è stato un potenziale cliente che per primo ha segnalato il problema. Non hanno acquistato un sito Web da noi a causa di questo falso avviso e del ritardo nel risolverlo.

Non è il tuo sito di per sé, ma piuttosto la risposta che il sito restituisce a ciò che è essenzialmente un URI cattivo. Se ottengono qualcosa di diverso da una risposta 404, prendono ciò per indicare che l'URL è valido e quindi una vulnerabilità.

La mia ipotesi è che il firewall abbia restituito un reindirizzamento 301 alla richiesta iniziale, che mostra (reindirizza a) la pagina del file non trovata. Questo è chiamato soft 404. Un modo comune per scaricare un file è tramite un reindirizzamento 301, quindi questo solleva una bandiera rossa sullo scanner.

Devi assicurarti che la risposta effettiva sia dura 404 in questi casi. In caso contrario, lo scanner delle minacce Norton presuppone che l'URL abbia trovato il file / la pagina vulnerabile e che venga contrassegnato.

    
risposta data 13.05.2016 - 00:42
fonte

Leggi altre domande sui tag