Avast WEBforum

Non-English Zone => Português => Topic started by: Ferds on August 25, 2011, 07:05:20 AM

Title: Avast False Positive on entire website (URL blocking)
Post by: Ferds on August 25, 2011, 07:05:20 AM: Hi there. I'm posting in English, hoping to have some quicker answer.

My domain is being blocked by Avast. Not any script, the entire URL.
So I deleted all files, images, etc. Just leave a new index.html saying 'hello world'.
The URL still being blocked by Avast.

Curious thing: there are 2 URL that points to the same web server:
hxxp://www.carpedien.org.br
hxxp://www.carpedien.com.br

The .org.br was used most of the time, and this one is being blocked.
The .com.br, rarely used, works fine. So, we can rest for sure that the website is clean, even why I have uploaded the full site again, and the site runs perfectly from my local webserver.
The site uses PHP + JS + MySQL. Not even flash.

The short line: Avast IS blocking my url .org (although I've seen other forum posts saying Avast doesn't read his own blacklist).

The One-Million-Dollar-Question: how can I remove my URL from Avast 6 internal blacklist?

The problem occurs only with Avast, only with 1 URL. There's no problem with the other URL point to the same webserver/same webfolder. There's no problem with the website running from my local webserver. So: the scripts are clean (tested by Avast, manually reviewed by me).

Waiting for an answer ASAP, since the main URL is being blocked and reported as infected for many many users. Thanks in advance.

Fernando.
Title: Re: Avast False Positive on entire website (URL blocking)
Post by: Asyn on August 25, 2011, 09:59:14 AM: Quote from: Ferds on August 25, 2011, 07:05:20 AM
The One-Million-Dollar-Question: how can I remove my URL from Avast 6 internal blacklist?

You can report a FP here: http://www.avast.com/contact-form.php?loadStyles
Title: Re: Avast False Positive on entire website (URL blocking)
Post by: Ferds on August 26, 2011, 01:22:48 PM: Hi there. Before posting on forum I had wrote to Avast using the form/link you submitted.
Of course I've selected "report false positive on website" from the combo box about topics.
Anyway, I've just wrote again.

Still have no lucky by now. The .COM url works perfectly fine, the .ORG url still being blocked.

If is there any way to say it again to Avast guys, please let me know. It's been ten long days since the domain started being reported. Thanks!
Title: Re: Avast False Positive on entire website (URL blocking)
Post by: Asyn on August 26, 2011, 01:31:27 PM: Report    2011-08-26 12:53:51 (GMT 1)
Website    carpedien.org.br
Domain Hash    e342d63da198e9aad75e823c6136b96e
IP Address    187.45.240.33 [SCAN]
IP Hostname    hm5393.locaweb.com.br
IP Country    BR (Brazil)
AS Number    27715
AS Name    LocaWeb Ltda
Detections    4 / 23 (17 %)
Status    DANGEROUS
Title: Re: Avast False Positive on entire website (URL blocking)
Post by: Ferds on September 02, 2013, 04:39:15 PM: And then again, after exactly 2 years from my last post, the exact same problem returns.
Out of the blue.

Avast starts screaming against the more usual domain (wxw.carpedien.org.br).
But there's no alert when accessing wxw.carpedien.com.br - which is exactly the same site, in the same webserver, just another DNS entry pointing to the same place.

It seems, somehow, connected to a well-known TinyMCE plugin which uploads images and links them inline in a text block. Some like to "lorem ipsum <img src=dolor.jpg> sit amen". In the pages where the images are displayed inline the text frames, these pages seems to bother Avast and trigger that freaking red shield, and from there, the entire site starts to report false positive.

Is there anything I could do? Anything I could look for and rewrite, that is known to trigger the false positives?
Or I just keeping reporting FPs?

Thanks!
Title: Re: Avast False Positive on entire website (URL blocking)
Post by: Ferds on September 02, 2013, 06:47:03 PM: Olhando agora o painel, vi que as postagens neste quadro estão todas em português.
Devo colocar minhas próximas postagens em português também?
Title: Re: Avast False Positive on entire website (URL blocking)
Post by: jefferson sant on September 02, 2013, 10:19:06 PM: Quote from: Ferds on September 02, 2013, 06:47:03 PM
Olhando agora o painel, vi que as postagens neste quadro estão todas em português.
Devo colocar minhas próximas postagens em português também?

ele não pode responder,pois ele fala inglês e Alemão
não há nenhum alerta do avast em seu site
Title: Re: Avast False Positive on entire website (URL blocking)
Post by: Ferds on September 02, 2013, 10:36:00 PM: O alerta do AVAST aparece em páginas específicas.
Como eu disse, isso acontece quando insiro uma imagem (usando a tag HTML padrão) no meio de um texto.
Essas áreas são exclusivas para usuários, protegidas com login e senha.

Se houver uma forma de eu lhe enviar um login e senha por mensagem particular, crio uma conta para você.

Desta vez, de fato, o AVAST não está bloqueando o domínio inteiro, só algumas páginas.
Mas, novamente, se eu abro o domínio com .com.br o problema não acontece. Só quando eu abro via .org.br

Grato.
Title: Re: Avast False Positive on entire website (URL blocking)
Post by: jefferson sant on September 02, 2013, 10:40:49 PM: Quote from: Ferds on September 02, 2013, 10:36:00 PM
Se houver uma forma de eu lhe enviar um login e senha por mensagem particular, crio uma conta para você.

Desta vez, de fato, o AVAST não está bloqueando o domínio inteiro, só algumas páginas.
Mas, novamente, se eu abro o domínio com .com.br o problema não acontece. Só quando eu abro via .org.br

Grato.

Por favor. Envie uma mensagem pessoal, eu responderei assim que tiver disponível,
poderia tirar uma captura do alerta da detecção do avast.
Title: Re: Avast False Positive on entire website (URL blocking)
Post by: Ferds on September 02, 2013, 11:02:58 PM: Agora ficou mais misterioso: o Avast bloqueia qualquer imagem na url http://wxw.carpedien.org.br/images
No navegador aparece um ícone de link quebrado, mas não aparece o alerta.

Estou alterando os scripts dessas páginas e reescrevendo a URL das imagens para http://wxw.carpedien.com.br/images
ou seja, trocando .ORG por .COM - e daí tudo está voltando a funcionar.

Eu abri um chamado para alerta de falso positivo, mas você teria como confirmar se o endereço wxw.carpedien.org.br/images não consta em alguma lista de bloqueio?

Obrigado pelas rápidas respostas.
Title: Re: Avast False Positive on entire website (URL blocking)
Post by: jefferson sant on September 02, 2013, 11:16:54 PM: (http://my.jetscreenshot.com/18363/20130902-k5py-72kb.jpg)

sim. está listado IP na blacklist

MyWOT

MalwareDomainList

malwareblacklist

http://www.ipvoid.com/scan/187.45.240.33/

http://www.urlvoid.com/scan/carpedien.org.br/

http://safeweb.norton.com/report/show?url=carpedien.org.br

http://sitecheck.sucuri.net/results/www.carpedien.org.br/images

Reportando para o analista
Title: Re: Avast False Positive on entire website (URL blocking)
Post by: Felipecss on September 03, 2013, 06:50:38 PM: Olá, o avast identifica meu site, wxw.shieldrugby.com.br com um falso positivo, já verifiquei com o servidor que faz todos os testes e não identifica virus algum, vocês poderiam por favor liberar meu site. Meus clientes não conseguem acessar o site!!!

Agradeço,

Att,

Felipe Claro
Shield Rugby
Title: Re: Avast False Positive on entire website (URL blocking)
Post by: Ferds on September 03, 2013, 09:21:54 PM: Caro Jefferson, obrigado pelas explicações.
Dei uma olhada rápida nos links, mas eles não são muito claros sobre como remover o domínio da lista.
Eu removi o diretório xxx.org.br/images, entendo que o próximo passo é pedir uma nova verificação e remoção.

O Avast tem uma blacklist própria da qual eu deva ser removido?
Ontem pela manhã (antes de postar aqui no fórum) eu já havia preenchido o formulário do Avast informando falso positivo e pedindo minha remoção.
Essa ação foi suficiente?

Obrigado.

Quote from: jefferson santiag on September 02, 2013, 11:16:54 PM
(http://my.jetscreenshot.com/18363/20130902-k5py-72kb.jpg)

sim. está listado IP na blacklist

MyWOT

MalwareDomainList

malwareblacklist

http://www.ipvoid.com/scan/187.45.240.33/

http://www.urlvoid.com/scan/carpedien.org.br/

http://safeweb.norton.com/report/show?url=carpedien.org.br

http://sitecheck.sucuri.net/results/www.carpedien.org.br/images

Reportando para o analista
Title: Re: Avast False Positive on entire website (URL blocking)
Post by: jefferson sant on September 04, 2013, 04:46:26 AM: Quote from: Ferds on September 03, 2013, 09:21:54 PM
Ontem pela manhã (antes de postar aqui no fórum) eu já havia preenchido o formulário do Avast informando falso positivo e pedindo minha remoção.
Essa ação foi suficiente?

Obrigado.

aguarde até sexta-feira 06/09/13 ,se não resolver durante este periodo.vou reportar novamente ao analista de virus,
não recebi nenhuma resposta ainda.
Title: Re: Avast False Positive on entire website (URL blocking)
Post by: jefferson sant on September 04, 2013, 05:08:17 AM: Quote from: Felipecss on September 03, 2013, 06:50:38 PM
Olá, o avast identifica meu site, wxw.shieldrugby.com.br com um falso positivo, já verifiquei com o servidor que faz todos os testes e não identifica virus algum, vocês poderiam por favor liberar meu site. Meus clientes não conseguem acessar o site!!!

Agradeço,

Att,

Felipe Claro
Shield Rugby

(http://i44.tinypic.com/23j6cgp.jpg)

Por favor, "modificar" o seu post mudar a URL de http para hxxp
para que nenhum usuario clique acidentalmente.

É mesmo identifiquei um possivel dominio malicioso ou iframe.

hxxp://rwoliveira.com.br
existe uma pasta chamada MultaID=STP2013BR2201.zip?

http://zulu.zscaler.com/submission/show/2cef758f41f5d93bfa4207c5b2c1ba28-1378263423

http://urlquery.net/report.php?id=5229067

http://www.urlvoid.com/scan/shieldrugby.com.br/

http://sitecheck.sucuri.net/results/www.shieldrugby.com.br

http://www.siteadvisor.com/sites/rwoliveira.com.br

https://www.virustotal.com/pt/file/8f40d4b9f6bdd8d24bbe83c0d4b8aa7a5095eeef34781e64e298dc0ca9d74eb5/analysis/

http://urlquery.net/report.php?id=4937613
Title: Re: Avast False Positive on entire website (URL blocking)
Post by: tprince on September 11, 2013, 04:25:08 PM: Meu site está sendo bloqueado também, já fiz a limpeza do FTP, troquei a senha etc...

Por favor verificar: http: / / realizaeventos . net

Obrigado.
Title: Re: Avast False Positive on entire website (URL blocking)
Post by: jefferson sant on September 11, 2013, 09:12:54 PM: Quote from: tprince on September 11, 2013, 04:25:08 PM
Meu site está sendo bloqueado também, já fiz a limpeza do FTP, troquei a senha etc...

Por favor verificar: http: / / realizaeventos . net

Obrigado.

por favor,não postar duas vezes o mesmo problema,pois só duplica o trabalho em ajudar
você pode usar "http://www.avast.com/pt-br/contact-form.php" para relatar possíveis falso positivo.
Title: Re: Avast False Positive on entire website (URL blocking)
Post by: jefferson sant on September 16, 2013, 03:21:59 PM: Quote from: Felipecss on September 03, 2013, 06:50:38 PM
Olá, o avast identifica meu site, wxw.shieldrugby.com.br com um falso positivo, já verifiquei com o servidor que faz todos os testes e não identifica virus algum, vocês poderiam por favor liberar meu site. Meus clientes não conseguem acessar o site!!!

Agradeço,

Att,

Felipe Claro
Shield Rugby

Houve um arquivo "shieldrugby.com.br / flash_player.exe" mas parece limpo agora, vamos desbloqueá-lo
Foi corrigido na atualização vps 130916-0

Thanks Milos
Title: Re: Avast False Positive on entire website (URL blocking)
Post by: jefferson sant on September 16, 2013, 04:55:14 PM: Quote from: Ferds on September 02, 2013, 11:02:58 PM
Agora ficou mais misterioso: o Avast bloqueia qualquer imagem na url http://wxw.carpedien.org.br/images
No navegador aparece um ícone de link quebrado, mas não aparece o alerta.

Estou alterando os scripts dessas páginas e reescrevendo a URL das imagens para http://wxw.carpedien.com.br/images
ou seja, trocando .ORG por .COM - e daí tudo está voltando a funcionar.
Obrigado pelas rápidas respostas.

Foi liberado há 13 dias.
Desculpe pela demora na resposta.