Google Search Console meldet Ungewöhnliche Downloads

GwenDragon

Registered User
Falls ich heir das falsche Subforum habe, bitte verschieben.

Verwendet hier jemand die neue Google Search Console? Die zeigt neuerdings Sicherheitsprobleme, schweigt sich aber über die Art der angeblich befallenen URLs aus.
Ich tippe auf False Alarms.
Daten wurden schon überprüft. Die Domain enthält nur statischen Content.

Hat jemand Ahnung wie ich das rausbekomme wo angeblich solche "schädlichen" Downloads vorhanden sind?
 

GwenDragon

Registered User
Dann schau mal in die Google Webmaster Tools.
Ach nee, darauf wär ich nie gekommen. So dusslich bin ich auch nicht.
Webmaster Tools? So heißt das ding schon lange nicht mehr und ist auch nicht funktionsfähig.

Mich hat ein Bekannter gefragt und ich hab mit seinem Google-Login in die Console gesehen.
Es steht aber nichts dort unter den Sicherheitshinweisen.
Sonst hätte ich heir kaum gefragt.

Aber wie interpretierst du das dann?
2019-07-19 17.23.17 search.google.com .png

//EDIT:
Ich hab nochmals in alten Google Webmaster Tools nachgesehen, da ist keine Nachricht zu finden, dass es da Sicherheitsprobleme gab, und auch den Bekannten gefragt, der hatte keine Warnende Mail von Google bekommen über ein Sicherheitsproblem.
Deswegen schließe ich auf ein False Alarm.

Nur was dem Google Bot so aufstößt hätte ich gern gewusst. Deswegen frage ich ja.
 
Last edited:

Joe User

Zentrum der Macht
Klingt so, als ob auf der betroffenen Website mindestens ein Malware-verseuchtes File zum Download angeboten wird.

Alle zum Download angebotenen Files durch saubere Kopien ersetzen und gegebenenfalls das ganze System neu aufsetzen, denn wer einzelne Files manipulieren kann/konnte, der hat sicherlich auch weiteren Schaden angerichtet und/oder Backdoors hinterlassen.
Zudem muss das offenbar vorhandene Sicherheitsloch gestopft werden, sonst ist jeglicher "Reparatur"-Versuch sinnfrei...

Erst wenn das Alles erledigt ist, signalisiert man Google, dass das Problem behoben wurde.


Vermutung: Dass Google keinen URL anzeigt, kann daran liegen, dass Google seine Nutzer ungern unnötig gefärdet, was in manchen Ländern auch illegal wäre und somit erspart Google sich hier vermutlich unnötigen Ärger...
 

GwenDragon

Registered User
So, der Bekannte hat über die Search Console eine nochmalige Überprüfung angestoßen und heute kam bei hm eine Mail, dass keinerlei Sicherheitsprobleme gefunden wurden.

War von Google wohl falscher Alarm oder das Backend der Console hat Bugs.

Ist aber damit erledigt. Hoffentlich.
 

Joe User

Zentrum der Macht
Und wer schliesst einen false-false-positiv aus? Bei sicherheitsrelevanten Vorfällen wie dem hier geschilderten, gibt es keine "ich lasse es mal
unkontrolliert weiterlaufen weil es ganz vielleicht, eventuell, könnte sein, dass es ein false-positive war"-Lösung, sondern nur die radikale, dafür
sichere, "ich ersetze die Files und gegebenenfalls das System ddurch saubere Kopien und prüfe Alles auf mögliche Sicherheitslücken"-Lösung.

Sorry, kein Verständnis für so ein verantwortungsloses grob fahrlässiges Verhalten...
 

DeaD_EyE

Blog Benutzer
Alle zum Download angebotenen Files durch saubere Kopien ersetzen und gegebenenfalls das ganze System neu aufsetzen, denn wer einzelne Files manipulieren kann/konnte, der hat sicherlich auch weiteren Schaden angerichtet und/oder Backdoors hinterlassen.
Wenn es sich um ein Upload handelt, können die Dateien auch von einem regulären User hochgeladen worden sein.
Es wäre schon hilfreich zu wissen, was betroffen war.

Lass doch mal einen Virenscanner drüber laufen.
 

GwenDragon

Registered User
Sorry, kein Verständnis für so ein verantwortungsloses grob fahrlässiges Verhalten...
genau wegen solcher Aussagen werden manche Leute eben nicht irgendwelche Domains hier nennen auf denen das passiert.
Und aus selbigem Grund frage ich für jemand.

Bevor du weiter so pöbelst: Die Dateien wurden durch saubere ersetzt, deren SHA256 stimmten.
Google hat sich an einer harmlosen Exe-Datei gestoßen, die kein Signatur hatte, die war als Endprodukt eines Programmierbeispiel mit gcc erstellt worden, um die Funktion execl zu erläutern.

Wenn es sich um ein Upload handelt, können die Dateien auch von einem regulären User hochgeladen worden sein.
Es wäre schon hilfreich zu wissen, was betroffen war.

Lass doch mal einen Virenscanner drüber laufen.
Nein, dort kann nur der Besitzer der Domain was hochladen. Ist auch CMS o.ä.
Alles sauber, selbst die exe-Datei. https://www.virustotal.com/gui/file/73bad81d07bdb1e94ffcfcf3b7ff85ac76bd20f1174b3ae78217430d2855e489/detection

Mein Fazit der Aktion:
Die Google Search Console nicht verlässtlich bezüglich Meldungen zur Sicherheit, schon wenn ich mir die Gudelines ansehe, die auf https://support.google.com/webmasters/answer/3258249?hl=en steht.
 
Last edited:

Joe User

Zentrum der Macht
Bevor du weiter so pöbelst: Die Dateien wurden durch saubere ersetzt, deren SHA256 stimmten.
Ach komm, wir kennen uns lang genug, dass Du weisst, dass es sich ganz anders anhört/liest, wenn ich pöble.
Und hättest Du den zweiten Satz bereits ein Post früher geschrieben, hätte ich mir meinen letzten Post sparen können.

Solltest Du warum auch immer heute ernsthaft darauf bestehen:
Entschuldigung für meinen direkten und zum Zeitpunkt des Verfassens angebrachten Tonfall meines letzten Posts...
 

GwenDragon

Registered User
Ich habe beschlossen die Dateien des Bekannten (einige exe und C++ sowie selbtgeschriebene Extensions) mal in eine Testdomain zu legen und dann Google drauf zu hetzen. Dann werde ich sehen was passiert.
Ich tippe ja eher drauf, dass Google Safe Browsing nebst der Search Console dann rumschreit. Aber das ist ja der Zweck.
 

GwenDragon

Registered User
Solltest Du warum auch immer heute ernsthaft darauf bestehen:
Entschuldigung
Nö, ist dein Stil mal zu poltern. Habe doch nie ne Entschuldigung verlangt.

Und hättest Du den zweiten Satz bereits ein Post früher geschrieben, hätte ich mir meinen letzten Post sparen können.
Dir ist schon klar, dass deine Annahmen was Nutzer alles nicht richtig machen oder versäumen, eher ein Vorurteil ist. Aber Schwamm drüber.
 

DeaD_EyE

Blog Benutzer
Den letzen false positive hatte ich, als ich mit PyInstaller ein Python Programm zusammen mit der Runtime gepackt hab.
UPX scheinen Virenscanner nicht zu mögen.
 

GwenDragon

Registered User
Da wir nicht wissen mit welchen Scannern Google die herunter geladenen Dateien testet, ist das ein verrücktes Spiel.

@DeaD_EyE Kommt mir bekannt vor.
Ich selbst hatte vor Jahren auch viel Spaß mit False Positive bei einer EXE (sie war harmlos, las Fontdateien, benannte als Konsolenprogramm nur Dateien um), die durch Perls PAR erzeugt wurde. Ich musste die Datei im Webspace löschen, sonst hätte Google die Domain dauernd als malwareverseucht geflaggt ("Safe Browsing" wird so ein Feature dann von Google großspurig genannt).
 
Last edited:

d4f

Müder Benutzer
Aus Erfahrung kann ich sagen dass Google extrem viele false-positives hat. Sowohl eigene Javascript-Libraries welche (zum entsprechenden Zeitpunkt) obskureren Code verwenden, .exe-Dateien als auch sogar Quellcode-Schnipsel wurden bei mir schon von Google falsch erkannt. In 2 Fällen brauchte es mehrere Verifizierungsanfragen bis Google es endlich entfernte - in keinem Fall gab es eine tatsächliche Infektion.

Google ist bei der Webseitenüberprüfung aktuell auf dem Stand der 2000'er-Jahre Antivitus-Softwares: wir meckern mal soviel und so oft rum dass die Benutzer gewohnt sind "ungewöhnliche Inhalte" oder "potentially dangerous software"-Downloads als normal an zu sehen.
 

Top