Posible ataque con Frame Injection

Avatar de Usuario
thecrow
Administrador
Administrador
Mensajes: 1513
Registrado: 14 Dic 2006, 00:00
Ubicación: Martos (JAÉN)
Contactar:

Re: Posible ataque con Frame Injection

Mensajepor thecrow » 25 Mar 2012, 09:39

Hola,

No os preocupeis. El problema ha sido del proveedor del server, no del diminio. Los dominios están registrados directamente por la asociación y, por ahora, hasta 2015. De hecho, la renovación automática del dominio ni siquiera es en estas fechas, ¡¡es en agosto!!
MPC J35 Tucci Observatory, Martos (JAÉN)
Celestron 9.25'' f/10 + Orion ATLAS Goto + Atik 16 HR
Refractor 120 mm f/8.7 + Vixen GP
Prismáticos APOGEE 20x100
Oculares ETHOS 17 mm y TMB supermonocéntrico 10 mm, entre otros.

Avatar de Usuario
moladso
Mensajes: 2365
Registrado: 21 Ago 2006, 23:00
Ubicación: Valdemorillo (Madrid)
Contactar:

Re: Posible ataque con Frame Injection

Mensajepor moladso » 25 Mar 2012, 13:01

alexdonet escribió:Hola,

Al acceder a los datos de la URL "http://tex.yourequations.com/"
se detectó un virus o programa no deseado 'HTML/IFrame.DO.54' [virus].
Acción realizada: Se bloqueó el acceso al fichero


Esto es el enlace al generador de imagenes para fórmulas (tex), por alguna razón tu antivirus lo detecta como positivo, pero no se trata de ningún software malicioso ni ningún ataque a la web.


Gracias Alex y a los demás.

Solo una observación: esto comenzó a mostrarlo el día 24/marzo por primera vez. Con anterioridad mi antivirus (Avira Internet Security 2012) no lo había dado como positivo. Si alguien más usa este antivirus podríamos cotejarlo para validar el falso positivo.

Se da la circunstancia de que ha coincidido con el problema de acceso y por eso la sospecha de que se tratara de un ataque.

EDITO: Es la página http://tex.equations.com la que me hace saltar el antivirus. Si me conecto, me devuelve un mensaje "http://tex.equations.com Contiene patrones de detección del virus de script HTML HTML/IFrame.DO.54"
Imagen

Avatar de Usuario
alexdonet
Administrador
Administrador
Mensajes: 566
Registrado: 28 Abr 2004, 23:00
Ubicación: Jaén
Contactar:

Re: Posible ataque con Frame Injection

Mensajepor alexdonet » 25 Mar 2012, 19:50

Alex:

Es del todo recomendable que el dominio este directamente registrado a nombre de la asociación, muchos proveedores lo registran a su propio nombre lo cual resulta muy "cómodo" para el que contrata en servicio, pero de alguna manera el proveedor lo tiene capturado, pues el día que quisieras cambiar del proveedor no tienes garantía de que te entregue el control del dominio.

Lo que paso es muy grabe, algún malintencionado pudo haber tomado control de dominio con lo cual deja desarticulada la comunidad, salvo claro por http://www.asociacionhubble.es y luego ponerle precio al dominio, estos son los llamados "ciberocupa".

Un Saludo
Pablo


El dominio está registrado a nombre de la Asociación hasta el 2015 y el problema tampoco ha sido del servidor. El fallo ha sido de nuestro proveedor minorista de dominios, que migró el dominio de un mayorista a otro mayorista y al parecer ha habido un malentendido, pero en cualquier caso no por nuestra responsabilidad. En realidad el tema no ha sido para nada grave.

Cuando un dominio expira, el antiguo propietario tiene un periodo "ventana" en el cual puede recuperarlo. Además, el dominio está protegido contra transferencias no autorizadas, por lo que el riesgo de que un ciberocupa lo registre es nulo, es un tema que tenemos muy controlado.

Saludos y gracias
http://www.asociacionhubble.org - Si te caes...vuelve a levantarte y mira al cielo...

Avatar de Usuario
moladso
Mensajes: 2365
Registrado: 21 Ago 2006, 23:00
Ubicación: Valdemorillo (Madrid)
Contactar:

Re: Posible ataque con Frame Injection

Mensajepor moladso » 25 Mar 2012, 19:59

alexdonet escribió:Saludos y gracias


Gracias a vosotros!
Imagen

Avatar de Usuario
kikerv
Mensajes: 342
Registrado: 03 Sep 2007, 23:00
Ubicación: Gijón, Asturias

Re: Posible ataque con Frame Injection

Mensajepor kikerv » 26 Abr 2012, 22:16

moladso escribió:Hola,
Solo una observación: esto comenzó a mostrarlo el día 24/marzo por primera vez. Con anterioridad mi antivirus (Avira Internet Security 2012) no lo había dado como positivo. Si alguien más usa este antivirus podríamos cotejarlo para validar el falso positivo.

Se da la circunstancia de que ha coincidido con el problema de acceso y por eso la sospecha de que se tratara de un ataque.

EDITO: Es la página http://tex.equations.com la que me hace saltar el antivirus. Si me conecto, me devuelve un mensaje "http://tex.equations.com Contiene patrones de detección del virus de script HTML HTML/IFrame.DO.54"

Hola, a mi también me aparece una detección de troyano al cargar la web (en http://tex.yourequations.com) deduzco que el problema no es de la web de la asociación, si no del "renderizador" de ecuaciones LaTeX, que utilizan muchos foros. Es muy posible que sea una falsa alarma, pero... precaución.

Tengo instalado como antivirus el Avast 7.
antivirus.JPG
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Celestron C8-SGT, Hyperion Zoom, S/W 32mm 2", S/W 80/400, Crayford 2", diagonal dieléctrica 2", Barlow GSO 2", cámara ASI120MC... vamos, la multitud habitual de cachivaches varios.
... ¡Ah! y las nubes de siempre...

Avatar de Usuario
Arecibo
Mensajes: 95
Registrado: 06 Nov 2011, 12:48
Ubicación: Alicante

Re: Posible ataque con Frame Injection

Mensajepor Arecibo » 26 Abr 2012, 22:24

A mí también me está saliendo la "amenaza tex ..." desde hoy (anoche funcionaba perfectamente)
Vixen 25x80; Yukon zoom x100
Meade ETX125; SkyWatcher Dob 12”
SkyWatcher Newton 150/750; Omegon ED 66/400
SkyWatcher NEQ-6 Pro II
Philips ToUcam; Orion SSSS IV
Luna QHY-5 Mono; Mammut Lyuba (difunta)
Canon EOS 1100D, EOS 60Da
CLS, Neodymium, CLR, UHC, O-III, H-alfa

Avatar de Usuario
javo
Moderador
Moderador
Mensajes: 3460
Registrado: 19 Jun 2005, 23:00
Ubicación: León
Contactar:

Re: Posible ataque con Frame Injection

Mensajepor javo » 26 Abr 2012, 22:24

Lo mismo me pasa a mi....
Galeria Astrobin: http://www.astrobin.com/users/Javier_Fuertes/

Asociación Leonesa de astronomía:
http://www.astroleon.org/

alcupe
Mensajes: 144
Registrado: 12 Mar 2006, 00:00

Re: Posible ataque con Frame Injection

Mensajepor alcupe » 26 Abr 2012, 23:05

Me acaba de pasar ahora mismo

Avatar de Usuario
ELI71
Mensajes: 257
Registrado: 01 Jun 2011, 21:36
Ubicación: Valencia

Re: Posible ataque con Frame Injection

Mensajepor ELI71 » 27 Abr 2012, 13:11

uno más.


edito : también con antivirus avast
Elías

Orion worldview 10X50 enero 2011

Nexstar 127 SLT marzo 2012
Neximage mayo 2012
twitter @eli71b

Avatar de Usuario
alexdonet
Administrador
Administrador
Mensajes: 566
Registrado: 28 Abr 2004, 23:00
Ubicación: Jaén
Contactar:

Re: Posible ataque con Frame Injection

Mensajepor alexdonet » 30 Abr 2012, 00:00

Acabo de eliminar el script que provocaba el falso positivo, reitero que no se trata de ningún virus o troyano. Borrad la caché de vuestro navegador y no debería volver a aparecer.

Saludos y disculpad las molestias
http://www.asociacionhubble.org - Si te caes...vuelve a levantarte y mira al cielo...

Volver a “Preguntas, Respuestas, Sugerencias, ....”