Infeccion que no entiendo

Hola, tengo una web con un blog de wordpress y cada vez que accedo a ella con el navegador, avast me saca el siguiente mensaje de infección.

El escudo de Red de avast! ha bloqueado un sitio dañino

http://intrusiontreestructure.xxx:7761/chart/navSiteAdmin/itunes.php?desktop = 1
Infección: URL: Mal
Proceso: C:\Archivos de programa\Internet Explorer\iexplore.exe

Como se supone que esa web es un sitio dañino, he cambiado la extensión “biz” por “xxx”.

No sé que relación hay entre esa web y la mia: wxw.roquetasayeryhoy.es

¿Me podrían orientar un poco?

Gracias. Raquel.

Hola Raquel_bin y bienvenid@ al foro :slight_smile:

En principio parece que el dominio no está infectado siempre y cuando tu dominio sea un (.biz) porque el .com y .net no existen.

He analizado el dominio en varios analizadores online de urls y parece estar limpio y tampoco se encuentra en ninguna lista negra.

Aquí tienes los resultados:
Virustotal:
https://www.virustotal.com/es/url/ef1502c3aadab0a3fd192f242913b96a205f2ee4e3b945a13c962eb090a99a24/analysis/1378900882/

Sucuri:
http://sitecheck.sucuri.net/results/intrusiontreestructure.biz

AVG:
http://www.avgthreatlabs.com/website-safety-reports/domain/intrusiontreestructure.biz

SCANURL:
http://scanurl.net/?u=http%3A%2F%2Fwww.avgthreatlabs.com%2Fwebsite-safety-reports%2Fdomain%2Fintrusiontreestructure.biz&uesb=Check+This+URL#results

De todas formas en el código de la web tienes dos scripts que creo que son los que Avast está interpretando como “peligrosos”.

document.write("/g,"")+" />");

Y sobre todo este otro que abre un applet (pequeño archivo de código): NepHt.jar

Seguramente es por eso por lo que Avast te lo está detectando como amenaza…

Repórtalo como F/P salvo que otro usuario del foro considere que si es una amenaza pero para mí se trata de un F/P. Tendría que ver el código fuente completo y el código de ese applet en concreto para estar seguro al 100% pero si VT, Sucuri y AVG no han encontrado nada raro yo estaría tranquilo…

Puedes reportarlo como F/P aquí seleccionando la opción “Informar sobre alerta de Falso Positivo en la web” en el menú desplegable (Asunto/Tema):

Saludos y si tienes cualquier otra duda aquí estaremos :slight_smile:

Por tu respuesta, creo que no me has entendido.

Mi web es wxw.roquetasayeryhoy.es, la otra web (intrusiontreestructure…) no tiene nada que ver conmigo y avast me reporta el problema de esa última.

Un saludo. Raquel.

Cierto, fallo mio xD

Bueno, he analizado el dominio con virustotal y sigue saliendo limpio pero debe haber algún tipo de redirección en alguno de los ficheros de tu página que te están redirigiendo a otro dominio. He intentado entrar en un equipo con AVG 2014 instalado y me detectó un ataque de inyección de código SQL que es exactamente lo que te comenté de la redirección. Por otra parte SUCURI muestra que tu versión de WORDPRESS no está al día lo cual es una ventaja para cualquier ciberdelincuente que quiera atacar tu sitio web.

Cuando nos creamos un perfil en WORDPRESS nuestra base de datos (nuestros datos) se guardan en el servidor de WORDPRESS de forma GRATUITA (para la mayoría de usuarios que no tienen nombre de dominio ni espacio web contratado), pero también si compramos un dominio y un espacio de hosting, éste nos ofrece de forma gratuita WORDPRESS que podemos instalar automáticamente desde el panel de control de nuestro pack contratado ó bien, podemos hacerlo de forma manual descargando wordpress desde su ftp oficial y subiéndolo a nuestro propio servidor.

En caso de tener WORDPRESS en nuestro propio servidor web, debemos estar siempre pendientes de cuándo sale una versión nueva de wordpress para descargarla y subir la versión actualizada nuevamente a nuestro servidor web HACIENDO PREVIAMENTE UN BACKUP DE LA BBDD.

No sé cual es tu caso pero sea cual sea, la versión de WordPress que utiliza tu web, no está al día y no es segura.

Ocurre a veces que “añadimos” componentes a los blogs como por ejemplo, calendarios, contadores de visitas, geolocalizadores, etc,etc . La mayoría son gratuitos pero algunos son de pago y los usuarios suelen buscarlos “pirateados” para no adquiridos legalmente sino de forma “pirata” y estos componentes “pirata”, suelen traer “redirecciones ocultas” a sitios web maliciosos dentro de su código.

No estoy diciendo que sea este tu caso, pero suele ocurrir muchas veces y debes descartar todas las posibilidades …

Yo empezaría primero que nada por ACTUALIZAR tu versión de wordpress ya que un ataque de inyección de código SQL permite infectar a cualquier usuario que visite tu página y este tipo de ataque se puede evitar simplemente con tener actualizada nuestra versión de WORDPRESS.

Mi recomendación es que te pongas en contacto con tu proveedor de hosting y que te actualicen la versión de Wordpress (si es que instalaste wordpress desde el panel de control de tu hosting) ó que te actualices tu misma la versión de wordpress de forma manual si la instalaste tu manualmente.

El problema es que WORDPRESS lo utilizan millones de usuarios y es por eso que los ciberdelincuentes buscan continuamente vulnerabilidades para infectar sitios web que utilizan worpress ya que, a más usuarios más posibles víctimas de sus ataques…

Visita la página de WORDPRESS si quieres actualizarte la versión de forma manual y en la misma página hay un tutorial sobre como hacer un backup de la bbdd y como restaurarla.

Si no sabes como hacerlo píde ayuda a tu proveedor de hosting que normalmente te ayudan en estos casos.

Tu sitio web no parece estar infectado pero como no actualices tu versión de Wordpress podría resultar infectado en cualquier momento con el peligro añadido de que cualquier usuario que visiste tu sitio web podría ser infectado.

En la imagen adjunta te muestro el resultado de Sucuri.

Suerte y si tienes cualquier otra duda estaremos por aquí.

Saludos!

Gracias, me pongo a ello.

No hay de que y suerte :wink:

Saludos :slight_smile:

Hola gente nos pasa lo mismo con un sitio desarrollado por nos.

cada vez que accede y tiene avast como antivirus. , avast me saca el siguiente mensaje de infección.

El escudo de Red de avast! ha bloqueado un sitio dañino

hxxp://www.jeluz.net
Infección: URL: Mal
Proceso: C:\Archivos de programa\Internet Explorer\iexplore.exe

Ya enviamos varios avisos de que no esta infectada. rastreamos todos los script. y hasta pusimos solo un html y nada mas en el server.
y sigue tirando lo mismo
imagino que pude ser por la ip.? el dominio?
los dns estan usando afraid.org

espero puedan ayudarme!

Revisa

hxxp://www.jeluz.net/imgs/styles.css
hxxp://www.jeluz.net/searchfield/searchfield.css
hxxp://www.jeluz.net/Scripts/AC_RunActiveContent.js
hxxp://www.jeluz.net/imgs/spacer.gif
hxxp://www.jeluz.net/common.js
hxxp://www.jeluz.net/js/lightbox.js
hxxp://www.jeluz.net/actb.js

Hola Lopmultimidia. Bienvenido al foro.

Es mejor abrir un tema nuevo que revivir uno de meses de viejo y probablemente nada que ver con tu situacion.

El problema tuyo es simple. Tu dominio se encuentra alojado en afraid.org y avast! esta bloquendo todo DNS que vengan de afraid.org porque sus DNS pueden ser usados por cualquier otra persona sin tu control. Cambia tus DNS para otra organizacion y reportalo nuevamente a avast! para que desbloqueen tu sitio web.

Esto lo dice Milos que es encargado del laboratorio de virus de avast!

Suerte.

Infratech Solutions gracias por tu respuesta lo revisarmos y esta todo ok,
parece que el tema esta en lo que dice iroc9555.
los dns de ifrain.org y y avast! esta bloquendo todo DNS que vengan de afraid.org

desde ya muchisimas gracias por las respuestas iroc9555 y Infratech Solutions
solucionaremos el tema de los dns y enviarmos el reclamo.

iroc9555 gracias por el consejo de abrir un post nuevo. me parecia que lo habia echo en conjunto con la consulta en este post.
Abrazo grande y les comento como nos fue apenas tengamos novedades!

De nada. Un placer.

Cuando cambies to DNS host, no te olvides de notificarlo a avast! para que desbloqueen tu sitio web.

http://www.avast.com/es-es/contact-form.php?loadStyles