¿Por qué Norton Safe Web marca mi sitio como peligroso cuando informa sobre archivos / URL de PHP que no existen?

3

Estoy en un pequeño dilema respecto a la calificación de Norton Safe Web del sitio web de mi empresa.

Mi pregunta es: ¿es posible que alguien engañe a Norton Safe Web para que piense que nuestro sitio web tiene archivos PHP que no existen? ¿Podría haber algún tipo de Spoofing en marcha, o alguien podría estar manipulando una herramienta Norton en su máquina para decirle a Norton Safe Web que nuestro sitio tiene archivos maliciosos?

Alojamos nuestro propio sitio web en nuestro servidor web interno, y hemos configurado correctamente los firewalls hasta la capa 7. Mcafee escanea nuestro sitio todos los días en busca de vulnerabilidades y no ha encontrado dichos archivos, y el Informe de Transparencia de Google no reporta nada malicioso. .

Ninguno de los enlaces amenazantes reportados existe o (que yo sepa) ha existido en nuestro sitio web. Dejamos de usar PHP hace mucho tiempo y, sin embargo, Safe Web los reporta en nuestro sitio web.

He incluido el Informe de amenazas a continuación. Solo reemplacé mi sitio web con "MYWEBSITE" y eliminé HTTP y WWW para que no se publique como un enlace:

  

Descargas automáticas: amenazas encontradas: 5

     

Nombre de la amenaza: Ataque web: Wordpress Descarga arbitraria de archivos 4 Ubicación:   MYWEBSITE.com/wp-content/themes/TheLoft/download.php?file=../../../wp-config.php

     

Nombre de la amenaza: Ataque web: Wordpress Descarga arbitraria de archivos 4 Ubicación:   MYWEBSITE.com/wp-content/plugins/history-collection/download.php?var=../../../wp-config.php

     

Nombre de la amenaza: Ataque web: Wordpress Descarga arbitraria de archivos 4 Ubicación:   MYWEBSITE.com/wp-content/plugins/google-mp3-audio-player/direct_download.php?file=../../../wp-config.php

     

Nombre de la amenaza: Ataque web: Inclusión de archivos locales del componente Joomla   Ubicación:   MYWEBSITE.com/news/index.php?option=com_macgallery&view=download&albumid=../../web.config.txt

     

Nombre de la amenaza: Ataque web: Wordpress Descarga arbitraria de archivos 4 Ubicación:   MYWEBSITE.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

     

Virus: amenazas encontradas: 1

     

Nombre de la amenaza: Ataque web: Inclusión de archivos locales del componente Joomla   Ubicación:   MYWEBSITE.com/news/index.php?option=com_macgallery&view=download&albumid=././web.config.txt

Note que todos son PHP y mencione WordPress y Joomla, NINGUNO de los cuales no tenemos ni utilizamos.

Estamos en el proceso de disputar el informe con Norton, pero esta es la segunda vez que esto sucede, y el proceso de disputa lleva bastante tiempo. Mientras tanto, se les dice a las personas que nuestro sitio web no es seguro y que estamos perdiendo clientes. Sé que no hay nada más que pueda hacer para acelerar el proceso con Norton, pero me gustaría entender cómo esto es posible y me gustaría poder evitar que este tipo de cosas vuelvan a ocurrir en el futuro.

En resumen , lo que trato de entender es: ¿es posible que se haya engañado a Norton Safe Web para que proporcione un informe falso de nuestro sitio, o es la única posibilidad de que alguien ¿Puso un archivo en nuestro sitio a tiempo para que Norton lo analizara y luego se lo quitó antes de que lo encontráramos?

Apreciaré enormemente cualquier entrada. Gracias!

    
pregunta Hawkeye 29.02.2016 - 23:57
fuente

1 respuesta

2

Este es un falso positivo de Norton Security / Safeweb. Su motor de exploración de amenazas tiene fallas cuando maneja las respuestas de estas URL "pirateadas", que en sistemas vulnerables pueden causar daños. El problema es que interpretan la respuesta incorrectamente, por lo que los sitios que no tienen PHP / WordPress, etc. se marcan por error. Esto es muy perjudicial para la buena voluntad del cliente, por supuesto. Y no lo hacen fácil o rápido para disputar. Además, no notifican al titular del dominio (al menos en nuestra experiencia), por lo que a menudo el primero en informar es de un cliente. En nuestro caso, fue un cliente potencial el que informó por primera vez el problema. No nos compraron un sitio web debido a esta falsa advertencia y la demora en resolverlo.

No es su sitio per se, sino la respuesta que el sitio devuelve a lo que es esencialmente un mal URI. Si obtienen algo más que una respuesta 404 difícil, consideran que la URL es válida y, por lo tanto, una vulnerabilidad.

Mi conjetura es que su servidor de seguridad devolvió un redireccionamiento 301 a la solicitud inicial, que muestra (redirige a) la página de archivo no encontrado. Esto se denomina software 404. Una forma común de descargar un archivo es a través de un redireccionamiento 301, por lo que esto pone una bandera roja en el escáner.

Debe asegurarse de que la respuesta real sea un 404 difícil en estos casos. De lo contrario, el analizador de amenazas de Norton asume que la URL encontró el archivo / página vulnerable, y usted queda marcado.

    
respondido por el Rodrigo M 13.05.2016 - 00:42
fuente

Lea otras preguntas en las etiquetas