me estoy volviendo loco, a veces salta, a veces no. Un par de cliente me lo comentaron también. Baje el sitio entero, le di scan y no encuentra nada. En virustotal y en http://vscan.novirusthanks.org/ y http://sitecheck.sucuri.net/ sale que está limpio. Que estoy haciendo mal? Gracias de antemano!
Edita por favor tu post y modifica el enlace sustituyendo http por hxxp para evitar así que otros usuarios puedan resultar infectados.
En cuanto a lo de ser un F/P no lo creo. Lo he probado con Avast y con KAV y ambos me indican que el sitio está infectado. Seguramente es algún tipo de redirección extraña ó algún script malicioso que ha sido inyectado.
Los principales antivirus lo detectan como amenaza por lo que para mi no es un F/P.
No olvides modificar el enlace por favor para evitar que otros usuarios se infecten… Gracias
Adjunto captura de pantalla en un equipo con KIS instalado para que veas que no sólo Avast lo detecta como amenaza…
Saludos!
[b]AÑADIDO:[/b]
Lo más seguro es que en algun archivo de tu sitio web (fancyonline.xcom) se está redirigiendo el navegador a la otra URL (hxxp://bachmanncollege.biz/hzziuv0ORK10x…) que es la que está infectada y añadida a la base de datos de varios antivirus como “insegura e infectada”. Yo descargaría tu sitio web completo y revisaría que no haya ningún script “extraño” en la web. Si no sabes cómo hacerlo deberías pedir ayuda a tu proveedor de hosting para que lo revisen…
En este foro lo más que podemos hacer es decir que reportes tu web como un F/P pero en mi opinión no lo es… Asegúrate antes y cuando tengas la certeza al 100% de que tu sitio está limpio entonces reportalo como F/P.
muchas gracias por las respuestas, ahi corregí el hxxp por las dudas, disculpas no me había dado cuenta
escanie el sitio completo bajado, con el avast, y salió limpio, lo mismo con mysql y no había links raros tampoco. Busque cada http:// en todo el código en todas los php y nada raro…
ahora recién me meto a mi web fancyonline y no saltó nada con el avast, ni en chrome, ni en firefox, ni en ie…
puede ser que quede en la memoria y no avise más?? sino magicamente se borró? o solucionaron justo el error en la base del avast?
a alguien le salta el virus?
Gracias!
Estoy de acuerdo. La alerta que Avast! me tiro pertenece a otro sitio web que la alerta pasada. Tienes un redirector en algun lado tienes que encontrarlo.
Thanks for your input. One question though. Is it hxxp://www.fancyonline.com.ar redirecting to those sites because… What ? That is what the OP wants to know. The million $ question
ahi me saltò de nuevo el aviso de virus, cambiò la redirecciòn a hxxp://protectionacross.biz, el còdigo infiltrado que figura en el navegador es el siguiente, todavìa no lo encuentro en los php, es como que se activa a veces y a vaces no…no me va a ganar… :-
el problema es que no se què buscar…
el html generado empieza asi con la script sospechosa:
El problema reside en que tu sitio como tal esta limpio pero te lleva a todo estos sitios que estan en lista negra. Voy a pedirle a !Donovan , nuestro guru en scripting code, que le eche una mirada a tu sitio a ver si consigue algo, pero puede que no tengas constentacion hasta mañana o pasado. Cruza los dedos.
no, no lo reporte como FP ya que claramente es un virus, ese còdigo no lo genera oscommerce. Algo ahi hay, estoy sospechando seriamente que sea algo en el servidor y por ende se ejecuta en mi web tambièn, no se si es posible. En el proveedor de hosting me dicen que el problema es en mi web, que elimine esa primera linea del còdigo html.
Aunque sea obvio que tiene alguna infeccion, Avast! puede darte una explicacion de lo que esta detectando y asi hacerlo mas facil para ti buscar la causa. Ya le mande un mensage a !Donovan este chamo se las trae a la hora de analizar sitios web. Veamos si encuentra algo.
No, de nada. Para eso es un foro. Tratar de ayudarnos y aprender. Suerte
Está codificada utilizando la función base64 nativa porque se suele utilizar este tipo de funciones para tratar cadenas largas como urls, emails, etc y también para ocultar redirecciones sin el conocimiento/consentimiento del usuario…
El caso es que acabo de revisar el enlace y sale limpio. El enlace que a mi me salía era el que aparece en la captura pero está caído…
Si quieres un consejo, revisa en todos los scripts php cadenas codificadas en base64, decodifícalas de nuevo y compruébalas en virustotal.
Por cierto, tu proveedor de hosting no se puede lavar las manos con este asunto. Cierto es que los archivos son responsabilidad tuya pero un proveedor “serio” te echaría una mano sobre todo si eres cliente suyo y les estás pagando…
La Oficina Federal de Investigación o en inglés: Federal Bureau of Investigation, FBI) es la principal rama de investigación del Departamento de Justicia de los Estados Unidos. Son la policia federal que sale en las películas, esos tan chulos que van de chaqueta y corbata!
Es una expresión que significa que el que hizo eso es tan listo que debería alertarse al FBI para que sus expertos en informática lo investiguen y que el FBI les detenga! ;D
por suerte ya no aparece virus en mi web con Avast.
El código estaba pegado en todos los index.php de mi sitio.
Buscando el enlace con http://urlquery.net/report.php?id=3501010
parece que usan otro dominio adicional para infectar, siempre con el mismo php (desde rusia por cierto):
hxxp://mbrowserstats.com/statE/stat.php
hxxp://mbrowserstats.com/statH/stat.php
lo raro es que al visitar esas webs figuran como inexistentes