Nakaranas kami kamakailan ng isang sitwasyon kung saan ang ilang mga antivirus (Kaspersky, Quttera, McAfee, Norton Safe Web, Bitdefender at ilang hindi gaanong kilala) ay nagsimulang humarang sa aming website. Ang pag-aaral sa sitwasyon ay humantong sa akin sa pag-unawa na ang pagkuha sa listahan ng mga bloke ay napakasimple, ilang mga reklamo lamang (kahit na walang katwiran). Ilalarawan ko ang problema nang mas detalyado sa ibang pagkakataon.
Ang problema ay medyo seryoso, dahil ngayon halos bawat gumagamit ay may naka-install na antivirus o firewall. At ang pagharang sa isang site na may pangunahing antivirus tulad ng Kaspersky ay maaaring gumawa ng isang site na hindi naa-access sa isang malaking bilang ng mga gumagamit. Nais kong ituon ang atensyon ng komunidad sa problema, dahil nagbubukas ito ng malaking saklaw para sa maruruming paraan ng pakikitungo sa mga katunggali.
Hindi ako magbibigay ng link sa mismong site o ipahiwatig ang kumpanya, upang hindi ito maisip bilang isang uri ng PR. Ituturo ko lamang na ang site ay gumagana ayon sa batas, ang kumpanya ay may komersyal na pagpaparehistro, ang lahat ng data ay ibinigay sa site.
Nakaranas kami kamakailan ng mga reklamo mula sa mga customer na ang aming site ay hinarangan ng Kaspersky Anti-Virus bilang isang phishing site. Maraming mga pagsusuri sa aming bahagi ay hindi nagpahayag ng anumang mga problema sa site. Nag-file ako ng aplikasyon sa pamamagitan ng form sa Kaspersky website tungkol sa isang false positive antivirus. Ang resulta ay isang tugon:
Sinuri namin ang link na iyong ipinadala.
Ang impormasyon sa link ay nagdudulot ng banta ng pagkawala ng data ng user, ang isang maling positibo ay hindi nakumpirma.
Walang ibinigay na katibayan na ang site ay nagbabanta. Sa karagdagang pagtatanong, natanggap ang sumusunod na tugon:
Sinuri namin ang link na iyong ipinadala.
Idinagdag ang domain na ito sa database dahil sa mga reklamo ng user. Ang link ay hindi isasama sa mga anti-phishing database, ngunit ang pagsubaybay ay paganahin sa kaso ng paulit-ulit na mga reklamo.
Mula dito ay nagiging malinaw na ang isang sapat na dahilan para sa pagharang ay ang mismong katotohanan ng pagkakaroon ng hindi bababa sa ilang mga reklamo. Malamang na ang site ay naharang kung mayroong higit sa isang tiyak na bilang ng mga reklamo, at walang kumpirmasyon ng reklamo ang kinakailangan.
Sa aming kaso, ang mga umaatake ay nagpadala ng ilang mga reklamo. At ang aming DC, at ilang mga antivirus, at mga serbisyo tulad ng phishtank. Sa phishtank, ang mga reklamo ay nagsasama lamang ng isang link sa site, at isang indikasyon na ang site ay phishing. At gayon pa man, walang kumpirmasyon na ibinigay.
Lumalabas na maaari mong harangan ang mga hindi kanais-nais na site gamit ang isang simpleng spam ng mga reklamo. Marahil ay mayroon ding mga serbisyong nagbibigay ng ganitong mga serbisyo. Kung wala sila doon, malinaw na lilitaw sila sa lalong madaling panahon, dahil sa kadalian ng pagpasok ng site sa mga database ng ilang mga antivirus.
Gusto kong makarinig ng mga komento mula sa mga kinatawan ng Kaspersky. Gayundin, nais kong makarinig ng mga komento mula sa mga mismong nakatagpo ng ganoong problema at kung gaano ito kabilis nalutas. Marahil ay may magpapayo ng mga legal na pamamaraan ng impluwensya, sa mga ganitong sitwasyon. Para sa amin, ang sitwasyon ay nangangailangan ng reputasyon at pinansiyal na pagkalugi, hindi banggitin ang pagkawala ng oras upang malutas ang problema.
Nais kong gumuhit ng maraming pansin hangga't maaari sa sitwasyon, dahil ang anumang site ay nasa panganib.
Dagdag.
Sa mga komento ay nagbigay sila ng isang link sa isang kawili-wiling post mula sa HerrDirektor sa isyung ito. I-quote ko siya
Sasabihin ko sa iyo ang higit pa - gusto mo bang lumikha ng mga problema para sa halos anumang site sa loob ng 10 minuto (mabuti, maliban sa malaki, matapang at napakasikat)?
Maligayang pagdating sa phishtank.
Nagrerehistro kami ng 8-10 na account (kailangan mo lang ng email para sa kumpirmasyon), piliin ang site na gusto mo, idagdag ito mula sa isang account sa fishtank database (upang gawing mas mahirap ang buhay para sa may-ari, maaari kang maglagay ng ilang sulat sa pag-advertise ng gay porn na may dwarfs sa anyo kapag idinagdag ito).
Sa natitirang mga account, bumoto kami para sa phishing hanggang sa sumulat sila sa amin ng "Ito ang phish site!".
handa na. Umupo kami at naghihintay. Bagama't, upang pagsama-samahin ang tagumpay, maaari mong idagdag ang parehong http:// at https:// at may slash sa dulo at walang slash, o may dalawang slash. At kung maraming oras, maaari ding magdagdag ng mga link sa site. Para saan? Pero bakit:Pagkatapos ng 6-12 na oras, lalabas ang Avast at kumukuha ng data mula doon. Pagkatapos ng 24-48 na oras, kumakalat ang data sa lahat ng uri ng "antivirus" - comodo, bit defender, clean mx, CRDF, CyRadar ... Mula sa kung saan sinisipsip ng virustotal ang data.
Siyempre, WALANG nagsusuri sa katumpakan ng data, lahat ay labis na naloko.At bilang resulta, ang karamihan sa mga extension ng "antivirus" para sa mga browser, libreng antivirus at iba pang software ay nagsisimulang manumpa sa tinukoy na site sa lahat ng uri ng mga paraan, mula sa mga pulang palatandaan hanggang sa ganap na mga pahina na nagbo-broadcast na ang site ay lubhang mapanganib at pumunta doon tulad ng kamatayan.
At upang linisin ang mga Augean stables na ito, ang bawat isa sa mga "antivirus" na ito ay kailangang sumulat sa teknikal na suporta. Para sa BAWAT link! Mabilis na gumanti ang Avast, ang natitira ay hangal na naglatag ng isang kilalang organ.
Ngunit kahit na ang mga bituin ay nagtatagpo at lumiliko na linisin ang site mula sa mga database ng antivirus, kung gayon ang "mega-resource" na virustotal ay walang pakialam. Wala ka ba sa database ng phishtank? Oo, huwag pakialam, kapag nagkaroon, ipapakita namin kung ano ang. Wala ka ba sa bit defender? Hindi mahalaga, ipapakita pa rin namin sa iyo kung ano iyon.
Alinsunod dito, ang anumang software o serbisyo na nakatutok sa virustotal ay magpapakita hanggang sa katapusan ng panahon na ang lahat ay masama sa site. Maaari mong tuksuhin ang mahirap na mapagkukunang ito sa mahabang panahon at sistematikong, at marahil ay mapalad kang makaalis doon. Ngunit maaaring hindi ka mapalad.
* Sa mga humaharang sa site, mayroon pa ngang fortinet provider. At hindi pa rin namin inalis ang site mula sa ilang listahan ng mga phishing site.
* Ito ang aking unang post sa HabrΓ©. Sa kasamaang palad, dati akong mambabasa lamang, ngunit ang kasalukuyang sitwasyon ang nag-udyok sa akin na magsulat ng isang post.
Pinagmulan: www.habr.com