URL:MAL Falso positivo, Rango de ip en blacklist

[Lucilaa]

Primero q nada  Hola chicos!
Soy nueva en el foro..

He visto que avast detecta como falso positivo un rango de ips, de mis vps en mi dedicado..

EL rango de ips va desde  198.50.185.64 a 198.50.185.95
He analizado con virustotal.com las web y estan 0/51 o sea nada malicioso..

Pueden probar con esta ip de prueba hxxp://198.50.185.65

Ya envie elformulario a Avast ayer, pero tmb queria dejarlo asentado aqui..

Saludos!

[iroc9555]

Hola Lucilaa. Bienvenida al foro.

Por favor edita esa direccion IP y hazla inactiva. Cambia http por hXXP. Gracias. No queremos una direccion potencialmente maliciosa activa en el foro

No solamente avast! detecta ese IP como malicioso, Malwarebytes tambien bloquea el IP. ver imagen

McAfee tambien lo tiene como peligroso: http://www.siteadvisor.com/sites/198.50.185.65

Espero que avast! te solucione pronto tu problema.

[Lucilaa]

Hola! Ya lo edite...
Recien lo que hice fue formatear el vps , y el primer programaainstalar fue xampp (descargado del sitio oficial), no puse ningun archivo web o html o php y sigue diciendo que la ip o url es maliciosa..

Estoy segurisima q en algun pasado, alguien mal utilizo las ips , y ahora pago los platos rotos yo :/ ..

EDIT: jeje al parecer AVAST ya respondio a mi reclamo por el momento no me esta tirando mas el aviso de URL:Mal wiii!!

[iroc9555]

Gracias.

Si, yo investigue superficialmente los IP y fueron usados masivamente por sitios en Rusia recientemente hasta Marzo-Abril. Muchos de ellos sitios maliciosos. Despues que entran en una lista negra hay que contactar individualmente las compañias ( AV, AM, etc ) para que ellas hagan sus propios analices y saquen los IP de sus listados.

De todas maneras le pedi a Polonus, Nuestro analizador official de webs en el foro que le echara un vistazo y diera su opinion. Esperemos a ver que encuentra el para que tu sepas que mas puedes hacer.

Avast! fue rapido entonces.

[polonus]

Malware history on IP: https://www.virustotal.com/nl/ip-address/198.50.185.65/information/
The IP is active right now spreading malware like  Nuclear Exploit Kit Mar 22-> https://gist.github.com/jedisct1/9706870 (info credits -> MalwareMustDie)

198.50.185.65   1   first seen 8 weeks ago   last seen 7 weeks ago also recently Threat name    NEUTRINO Explot Kit Danger threat level is 5

polonus aka Damian

[iroc9555]

Lucilaa.

De acuerdo a Polonus IP 198.50.185.65  todavia esta distribuyendo malware como Nuclear Exploit Kit ( Mar 22 ) https://gist.github.com/jedisct1/9706870

Tambien te pone el historial de 198.50.185.65 que da Virus Total:
https://www.virustotal.com/nl/ip-address/198.50.185.65/information/  y se ve como distribuia  NEUTRINO Exploit Kit nivel de peligo 5

Ese lo habia visto yo y de ahi que dije que el IP lo usaron en Rusia para distribuir malware.

[Lucilaa]

Lucilaa.

De acuerdo a Polonus IP 198.50.185.65  todavia esta distribuyendo malware como Nuclear Exploit Kit ( Mar 22 ) https://gist.github.com/jedisct1/9706870

Tambien te pone el historial de 198.50.185.65 que da Virus Total:
https://www.virustotal.com/nl/ip-address/198.50.185.65/information/  y se ve como distribuia  NEUTRINO Exploit Kit nivel de peligo 5

Ese lo habia visto yo y de ahi que dije que el IP lo usaron en Rusia para distribuir malware.

Pero es que no puede ser
El dedicado me lo dieron ayer, y las Ips las compre ayer tambien...
Me baje el .iso ed windows server 2008 directo de Microsoft, o sea es Legitimo.
Y el primer programa a instalar es xampp tambien descargado del sitio oficial. Arme varios vps para probar, de la misma manear, le asigno cualquier ip de ese rango y el avast lo toma como virus... No se de donde puede estar enviando esas cosas maliciosas, no le instalo nada mas yo :/

[iroc9555]

¿ avast! ya contesto ? ¿ Que te dicen ? Reporta nuevamente los IP como F/P a ver que contestan.

Bueno, tambien puedes reportarlo a tu servidor de dominio para que chequeen esas IP.

[Lucilaa]

¿ avast! ya contesto ? ¿ Que te dicen ? Reporta nuevamente los IP como F/P a ver que contestan.

Bueno, tambien puedes reportarlo a tu servidor de dominio para que chequeen esas IP.

Solo me dijeron que gracias por escribirles, que me van a contestar a la brevedad.. Ya reporte 5 ips.. Y del datacenter me dijeron que esas ips las compraron unicamente para mi dedicado, que ellos no pueden hacer nada porque no manejan las BL de los antivirus...

Lo raro es que al abrir una web con esa ip ahora , hoy dia, no me tomo como virus, me la abrio normalmente...
PD: AVG y NOD32 tampoco las detectan como virus, si esta mal nombrar esos av, avisenme y edito el post.

[iroc9555]

No no hay problemas nombrarlos. Si avast! te dio el visto bueno, quiere decir que ellos no encontraron nada. Si otros AV empiezan a aceptar tu sitio con esos IP, poco a poco los sacaran de la lista negra. Por el momento reportalos a McAfee y a Antimalwarebytes que los estan detectando. Si te puedo recomendar que no uses dominios gratis de afraid.org. Avast! esta bloqueando todo lo que venga de esa compañia.

Suerte.

[Lucilaa]

No no hay problemas nombrarlos. Si avast! te dio el visto bueno, quiere decir que ellos no encontraron nada. Si otros AV empiezan a aceptar tu sitio con esos IP, poco a poco los sacaran de la lista negra. Por el momento reportalos a McAfee y a Antimalwarebytes que los estan detectando. Si te puedo recomendar que no uses dominios gratis de afraid.org. Avast! esta bloqueando todo lo que venga de esa compañia.

Suerte.

para nada, el unico dominio gratis q uso es .zapto.org ... Lamentablemente 2 ips las puedo ver bien, el resto me salta virus u.u

[iroc9555]

Lo unico que puedo hacer por ti es recomendarte este sitio:

http://sucuri.net/es

Nosotors lo usamos para dar detalles de infeccion cuando alguien viene al foro quejandose que avast! tiene bloqueado sus sitio web, pero ellos tambien prestan servicio de limpieza. ¿ Cuanto cuesta ? Depende que quieres. Leetelo y decide tu misma.

Suerte.