Sito falso positivo. Come segnalarlo agli antivirus?

Hai ripristinato il tuo sito wordpress hackerato.

Hai verificato con la search console i risultati dell’attacco e ripulito tutto, ma l’attacco ha generato migliaia di pagine che si sono indicizzate web con titoli in cinese o con nomi di prodotti che non riguardano la tua attività.

Il tuo dominio risulta ancora infetto agli antivirus dei tuoi utenti e le tue e-mail finiscono in spam ma sei convinto che non è possibile?

Hai ragione, può succedere che un sito risulti come falso positivo, ma cosa puoi fare per uscire da questa situazione?

Continua a leggere e ti aiuterò a risolvere il problema.

Sito falso positivo. Come segnalarlo agli antivirus?

Come anticipato, vediamo insieme quali passaggi seguire per segnalare agli antivirus che abbiamo pulito il nostro sito WordPress e che il risultato della loro scansione è solo un falso positivo.

Un falso positivo è un allarme che ‘suona per errore’. Si verifica quando un sito web, o un file, legittimi, vengono rilevati da un antivirus come infetti.

Al contrario un falso negativo si ha quando l’antivirus non riesce a rilevare un’infezione in corso su un software o su un sito web e non lancia un allarme sull’infezione in corso.

Ma come si fa a verificare se un sito è infetto? Scopriamolo insieme.

Come verificare se un sito è infetto

Uno strumento utile, consigliato dalle guide degli stessi antivirus, è il sito virustotal.com, idoneo per scoprire se gli antivirus che scansionano il web, tra cui quelli usati dai tuo clienti, reputano il tuo portale e le comunicazioni ricevute attraverso posta elettronica sicure o infette.

Tramite questo sito potrai:

  • analizzare singoli file
  • scansionare domini e IP
  • segnalare URL sospetti per rilevare malware e altre violazioni.

Come analizzare un sito con virustotal.com

Di seguito, gli step da seguire per analizzare la piattaforma attraverso virustotal.com.

  • Accedi al sito digitando www.virustotal.com
  • Seleziona cosa vuoi analizzare, se un file o un URL, o tramite la voce “Search” un Indirizzo IP
  • Lancia la scansione premendo Invio
  • Attendi il risultato della scansione

Verifica sempre quando è stata eseguita l’ultima scansione automatica – trovi la data in alto a destra. Se la data non è quella in cui stai effettuando la verifica clicca su Reanalyze per lanciare un controllo aggiornato.

 

Se il risultato è verde è tutto ok: nessuno degli antivirus presi in esame da Virustotal rileva infezioni sul tuo sito. In tal caso, puoi interrompere la tua lettura qui.

Se, invece, il tuo sito viene rilevato come infetto, continua a leggere i prossimi paragrafi per scoprire come procedere per richiedere una nuova scansione.

Come segnalare un sito falso positivo ad un Antivirus

Se sei sicuro di aver eliminato ogni traccia di codice infetto dal tuo sito wordpress, e che la segnalazione di sito infetto sia un falso positivo, non ti resta che segnalare agli antivirus di effettuare una nuova scansione e correggere i loro alert.

Prenderò come esempio la segnalazione di una URL, ma lo stesso processo è applicabile anche a singoli file rilevati come sospetti.

Purtroppo non sono riuscito a trovare ancora un modo per inviare una segnalazione a tutti contemporaneamente, quindi ti riporto di seguito un elenco degli Antivirus con cui mi sono confrontato e di come puoi segnalare il tuo falso positivo alla loro assistenza tecnica. Partiamo da Avira

AVIRA

Antivirus prodotto da NortonLifeLock, consente di segnalare un falso positivo tramite form dedicato.

Per richiedere la scansione del tuo sito infetto accedi al seguente Url:

https://www.avira.com/it/analysis/submit-url

La tua segnalazione verrà inviata, il tuo URL analizzato e se  la tua segnalazione si rivelerà un falso positivo, lo staff di AVIRA provvederà a rimuovere l’indirizzo dalla loro banca dati.

Kaspersky

Nata nel 1977, con sede nel Regno Unito, Kaspersky ha sviluppato un sistema dedicato per la rilevazione delle minacce chiamato Opentip.

Per effettuare la scansione del tuo sito wordpress infetto accedi al sito: opentip.kaspersky.com  clicca su Lookup, inserisci la tua URL e avvia la scansione.

Se l’esito è positivo (verde) puoi inviare loro una segnalazione premendo il pulsante Submit to reanalyze per richiedere una ulteriore analisi.

Nel form che si aprirà indica il tuo indirizzo mail (fondamentale per essere contattato) e segnala, con un testo di questo tipo, il tuo falso positivo:

Salve, vorrei segnalare un falso positivo per il sito web www.xxxxx.xx, tramite VirusTotal il sito viene segnalato come compromesso dal vostro antivirus, ma, ad una scansione tramite il sistema Opentip, che allego, risulta non compromesso.

E’ possibile sbloccare la situazione che ci sta creando non pochi problemi in termini di visibilità?

Per inviare l’allegato utilizza sistemi come imgbb, postimage o simili.

Se la scansione da risultato negativo (rosso) approfondisci il report e verifica nuovamente che il tuo sito non sia infetto.

Se sei sicuro che il risultato sia errato richiedi comunque l’analisi specificando di segnalarti cosa ritengono infetto e, se possibile, dove riscontrano il problema.

Per esperienza personale posso dirti che riescono ad individuare quale parte di codice viene rilevata come infetta, sta a te, o ad una web agency specializzata, intervenire poi sulla pulizia del tuo sito wordpress hackerato.

BitDefender

Fondato nel 2001 in Romania, Bitdefender mette a disposizione un form dedicato per inviare la tua richiesta:

https://www.bitdefender.it/consumer/support/answer/30011/

L’invio aprirà un ticket ai tecnici dell’antivirus che analizzeranno la richiesta nell’arco di 72 ore, se effettivamente si tratterà di un falso positivo la segnalazione verrà rilasciata con il successivo aggiornamento del software.

CyRadar

Società di sicurezza informatica con sede in Vietnam, non ha un form dedicato alla segnalazione di siti falsi positivi, è possibile però inviare la richiesta tramite il form di contatto generico a questo link:

cyradar.com/contact

Riceverai un messaggio di risposta automatico e nulla più. Nel mio caso, ma nell’arco di 24h, il problema è stato risolto.

Lionic

Sul sito di Lionic troverai un form dedicato alla segnalazione di falsi positivi a questo indirizzo:

https://www.lionic.com/reportfp/

Il form offre una suddivisione interna per le segnalazioni rilevate da VisurTotal o quelle dei loro prodotti, nel nostro caso seleziona “False Positive URL on VirusTotal” e procedi con l’invio del tuo report.

P.S. Attenzione al pulsante di invio, ne troverai 2, uno dei quali, oltre ad inviare la segnalazione, ti iscrive anche alla loro newsletter.

Sophos

Prima di inviare la segnalazione di falso positivo a Sophos è necessario verificare il sito con il loro scanner, visita quindi:
https://intelix.sophos.com/url

E lancia la scansione.

Se ritieni che il risultato non sia corretto puoi aprire la tua segnalazione di Falso Positivo cliccando sul pulsante “Web Address (URL)” e compilare il form.

Io come Prodotti/Servizi ho inserito: Sophos Antivirus e come categoria del sito web ho inserito “Attività Commerciale”.

Qui trovi un guida per la compilazione del form Sophos.

Attenzione, la segnalazione del falso positivo è possibile solo se ci si è registrati al portale di supporto. La registrazione è gratuita.

G-DATA

G-Data fornisce un form dedicato per la segnalazione di un sito falso positivo, selezionando una delle voci disponibili si aprirà un pop-up con un form dedicato alla segnalazione:

https://www.gdatasoftware.com/suspicius-url

Seclookup

Nel caso di Seclookup ci sono due possibilità per segnalare un sito falso positivo, puoi:

  • Inviare una mail all’indirizzo info@seclookup.com contenente tutti i dati della segnalazione e specificando dove avete ricevuto la segnalazione (nel nostro caso si VirusTotal).
  • O compilare il form dedicato sul loro sito.

Nel secondo caso riceverai una mail di conferma di apertura del ticket, fai solo attenzione perchè la mia era finita in spam.

VIPRE

VIPRE Antivirus consente la segnalazione dei siti rilevati come falsi positivi mediante la compilazione di un apposito form raggiungibile a questo link:

https://helpdesk.vipre.com/false-positive-site

Ricordati di allegare l’immagine della segnalazione ricevuta su VirusTotal (va bene anche un print screen).

Nel mio caso la risposta dal loro Helpdesk è arrivata nell’arco di 24h segnalando lo sblocco del dominio.

alphaMountain

L’antivirus alphaMountain, partner diretto di VirusTotal, non mette a disposizione un form specifico per la segnalazione dei falsi positivi.

È possibile contattare l’assistenza tecnica tramite il form dedicato raggiungibile a questo link:

alphamountain.ai/contact/

Da loro non ho ricevuto risposte ma il sito infetto è stato rimosso dalle segnalazioni.

Certego

Anche in questo caso nessun form per la segnalazione diretta, puoi però scrivere a questo indirizzo mail dedicato: fp@certego.net.

ESET

La segnalazione di un sito falso positivo ad Eset Antivirus deve avvenire tramite l’invio di una mail, bene dettagliata, all’indirizzo: samples@eset.com.

La mail dovrà essere cosi composta:

Oggetto

L’oggetto deve contenere l’url del sito segnalato come falso positivo

Testo dell’email

Il testo deve contenere nuovamente l’url del sito web infetto e una motivazione del perché pensi che sia un falso positivo. Fornisci quante più informazioni possibili sull’origine del CMS/software, includi anche il nome dello sviluppatore, il nome e la versione dell’applicazione.

Ricordati di allegare il print screen di VirusTotal che riporta la loro segnalazione e, se possibile, un print della segnalazione riscontrata mediante il browser

 

 

Invia la mail all’indirizzo segnalato, se entro 72h il problema non viene risolto o non ricevi risposta alla tua segnalazione invia una nuova mail alla loro assistenza indicando l’oggetto della mail già inviata, data e ora dell’email e indirizzo mail da cui è stata inviata la segnalazione.

Criminal IP – Cybersecurity Search Engine

Criminal IP antivirus, sviluppato da AI Spera Inc. fondata nel 2017 in un laboratorio di ricerca da Byungtak Kang e da Huy Kang Kim (ex hacker), non dispone di un form dedicato alla segnalazione dei siti falsi positivi.

Puoi però scrivere al loro indirizzo mail per le segnalazione: support@aispera.com

Nel mio caso ho ricevuto una cortese risposta via mail nell’arco di 12h (segnalazione fatta alle 16:38 risposta ricevuta alle 4:36 del mattino).

Nonostante la rapidità ci sono voluti però alcuni giorni prima che la segnalazione risultasse rimossa.

Emsisoft Anti-Malware

Emisoft, nata nel 1999 circa dal suo fondatore Christian Mairoll, non offre un form dedicato ma un sistema di scansione delle url.

Per inviare la richiesta di verifica di un sito riscontrato come falso positivo si può procedere in due modi:

  • All’interno dello loro stesso scanner, se avete la versione installata, tramite la voce False Detection è possibile inviare la segnalazione al laboratorio Emisoft per l’analisi.
  • Tramite mail dedicata all’indirizzo: fp@emsisoft.com ricordando di inserire i riferimenti del sito infetto, il perchè lo si ritiene un falso positivo e gli screenshot di VirusTotal che ha rilevato la problematica.

Fortinet Cybersecurity

Fondata in California oltre 20 anni fa e diretta da Ken Xie e Michael Xie, co-founder dell’azienda stessa, mette a disposizione dell’utente un sistema dedicato di verifica della segnalazione e un form specifico per l’invio.

Per segnalare quindi il tuo sito rilevato da loro come infetto procedi in questo modo:

  1. Accedi al sito www.fortiguard.com e seleziona Service –> Web Filtering (o clicca qui)
  2. Inserisci l’url del tuo sito nell’apposito campo e avvia la scansione
  3. Clicca sulla voce “Request a Review” che trovi nella scheda generata
  4. Compila il for dedicato e invia la tua richiesta (puoi accedere direttamente al form cliccando qui)

Nel mio caso la risposta alla mia richiesta è arrivata nell’arco di 12h e in circa 2 giorni il sito è risultato nuovamente pulito.

Conclusioni

Portare a termini la pulizia di un sito WordPress che ha subito un attacco da parte di un hacker non è affatto semplice. Con pazienza e attenzione, però, è possibile effettuare una pulizia completa del codice.

Come detto in questo e nei precedenti articolo, i passaggi fondamentali per verificare la validità della piattaforma sono sono:

  1. Pulizia del sito wordpress hackerato
  2. Utilizzo della Search Console per identificare i danni e per un primo intervento (se non l’hai fatto scopri qui come collegare il tuo sito alla google search console)
  3. Scansione con VirusTotal e segnalazione del sito riscontrato come falso positivo alle piattaforme antivirus.

 

Hai trovato utili queste informazioni? Il tuo sito wordpress risulta infetto? Se hai bisogno di aiuto nella pulizia del tuo sito WordPress siamo a disposizione per approfondire la tua situazione e aiutarti se ne hai bisogno. Invia ora la tua richiesta di supporto qui.

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Sentitevi liberi di contribuire!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito è protetto da reCAPTCHA e da Googlepolitica sulla riservatezza ETermini di servizio fare domanda a.