parece que hay algo que le incomoda a la versión de Prueba Premium de mi Malwarebytes y cada vez que hago click en cualquier tipo de elemento enlace de la web de este foro (por ejemplo en Inicio, o en Perfil, o en los iconos de arriba, los títulos de subforos, hilos... etc) salta una alarma de bloqueo de un sitio web al que, al parecer, me está intentando redirigir o algo por el estilo.... el sitio web en cuestión es "j.maxmind.com"
alguien tiene el mismo problema? alguna idea de dónde viene esto?
(http://s2.subirimagenes.com/privadas/previo/thump_2424581captura1.png)
https://www.maxmind.com/es/home El dominio es de una web que ofrece servicios de protección al fraude online
whatweb maxmind.com
http://maxmind.com [301 Moved Permanently] Country[UNITED STATES][US], IP[108.168.255.243], RedirectLocation[https://www.maxmind.com/]
https://www.maxmind.com/ [302 Found] CloudFlare, Cookies[__cfduid,mm_session], Country[UNITED STATES][US], HTTPServer[cloudflare-nginx], HttpOnly[__cfduid,mm_session], IP[104.16.37.47], RedirectLocation[/en/home], UncommonHeaders[cf-ray]
https://www.maxmind.com/en/home [200 OK] CloudFlare, Cookies[__cfduid,mm_session], Country[UNITED STATES][US], Frame, HTML5, HTTPServer[cloudflare-nginx], HttpOnly[__cfduid,mm_session], IP[104.16.37.47], PasswordField[password], Script[text/javascript], Title[IP Geolocation and Online Fraud Prevention | MaxMind], UncommonHeaders[cf-ray], probably WordPress
root@kalinux:~# nslookup maxmind.com
Server: 192.168.234.2
Address: 192.168.234.2#53
Non-authoritative answer:
Name: maxmind.com
Address: 108.168.255.243
root@kalinux:~# host maxmind.com
maxmind.com has address 108.168.255.243
maxmind.com has IPv6 address 2607:f0d0:3:8::4
maxmind.com mail is handled by 5 alt2.aspmx.l.google.com.
maxmind.com mail is handled by 5 alt1.aspmx.l.google.com.
maxmind.com mail is handled by 1 aspmx.l.google.com.
maxmind.com mail is handled by 10 aspmx2.googlemail.com.
maxmind.com mail is handled by 10 aspmx3.googlemail.com.
Yo uso la version 3.2.2 de Malwarebytes Premium y nunca me salio ese mensaje navegando en el foro.
Revisa las extensiones de tu navegador, pasale Ccleaner, revisa el archivo host.
El foro contiene un script dirigido hacia ahi, en el propio index:
<script type="text/javascript" src="http://j.maxmind.com/app/geoip.js"></script>
En virus total hay un scan report en el que dos sites denuncian como malo o scam y el resto como buenos:
https://www.virustotal.com/en/url/bdffdcdd50418770193d866a68d097ffbbd72158caa110f2b7540bee5f2aab9b/analysis/1402420365/ (https://www.virustotal.com/en/url/bdffdcdd50418770193d866a68d097ffbbd72158caa110f2b7540bee5f2aab9b/analysis/1402420365/)
Igual los admins deberían de ver si realmente metieron ese enlace porque ellos querían o no. En caso negativo igual una medida preventiva sería quitarlo. Pero el enlace a un javascript downlodeado de ahi está, así que no es problema del cliente si no del enlace del propio servidor.
Igual la alerta del antivirus tiene que ver con esto:
http://www.behindthefirewalls.com/2013/06/zeroaccess-trojan-network-analysis-part.html (http://www.behindthefirewalls.com/2013/06/zeroaccess-trojan-network-analysis-part.html)
Como existe un troyano que utiliza esa api de geolocalizacion para sus cosas, igual el antivirus lo achaca a que tienes ese troyano.
Como dice
@animanegra (https://underc0de.org/foro/index.php?action=profile;u=64559) el problema es mucho más probable que esté de parte del foro.
De todas formas he revisado las extensiones y el archivo hosts (por si acaso) y no veo nada extraño.
Aunque me extraña que con la misma versión a
@fudmario (https://underc0de.org/foro/index.php?action=profile;u=30119) no le salte la alerta, tienes la bd de Malwarebytes actualizada?
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
El foro contiene un script dirigido hacia ahi, en el propio index:
<script type="text/javascript" src="http://j.maxmind.com/app/geoip.js"></script>
En virus total hay un scan report en el que dos sites denuncian como malo o scam y el resto como buenos:
https://www.virustotal.com/en/url/bdffdcdd50418770193d866a68d097ffbbd72158caa110f2b7540bee5f2aab9b/analysis/1402420365/ (https://www.virustotal.com/en/url/bdffdcdd50418770193d866a68d097ffbbd72158caa110f2b7540bee5f2aab9b/analysis/1402420365/)
Igual los admins deberían de ver si realmente metieron ese enlace porque ellos querían o no. En caso negativo igual una medida preventiva sería quitarlo. Pero el enlace a un javascript downlodeado de ahi está, así que no es problema del cliente si no del enlace del propio servidor.
Igual la alerta del antivirus tiene que ver con esto:
http://www.behindthefirewalls.com/2013/06/zeroaccess-trojan-network-analysis-part.html (http://www.behindthefirewalls.com/2013/06/zeroaccess-trojan-network-analysis-part.html)
Como existe un troyano que utiliza esa api de geolocalizacion para sus cosas, igual el antivirus lo achaca a que tienes ese troyano.
Quizá tenga más que ver con esto. Al parecer es un servicio de geolocalización, al ser usado por ese troyano está en la base de datos de Malwarebytes.
1. Sólo me ocurre en esta web(la alerta saldría cada vez que hubiese una conexión saliente desde mi equipo hacia ese enlace)
2. El enlace está claramente en el código fuente
3. Por la parte cliente no hay nada extraño
Podemos concluir que es cosa del Foro y que quizá no sea nada peligroso. Aún así no estaría mal que algún admin le echara un ojo.
Tal vez a uno le salta la alerta y al otro no porque a pesar de estar en el código fuente, el enlace está caído y no se puede cargar el javascript.
Saludos.
Hola,
Esa linea de código no tiene nada de malo. Solo verifica de donde eres.
En el foro tenemos un mod instalado que es este: http://www.smfpersonal.net/mods/adk-ad-cookies-t7706.0.html
El cual te avisa que el sitio web usa cookies para la navegación. Es algo obligatorio segun una ley de españa.
Lo que hace el mod, es ver de que país vienes y si eres de España, te muestra el cartel notificando que underc0de usa cookies.
Acá puedes ver un hilo que habla más sobre el tema y como usa ese javascript que mencionas que es peligroso:
https://www.simplemachines.org/community/index.php?topic=514173.0
Como puedes ver, solo detecta de donde eres, no hace mas que eso. Pero como bien dijo @animanegra (https://underc0de.org/foro/index.php?action=profile;u=64559) hay troyanos o botnets que también usan este JS, y es por ello que lo detecta como malicioso. Pero no es más que una función que dice de donde eres.
Perdón la demora en responder, ni yo sabía que hacía, tuve que investigar un poco al respecto.
Saludos,
ANTRAX
Tras la respuesta de @ANTRAX (https://underc0de.org/foro/index.php?action=profile;u=1) marco el tema como solucionado, @dr3x (https://underc0de.org/foro/index.php?action=profile;u=63882) entendemos tu problema, pero siempre puedes hacer una excepción para que no vuelva a saltar.
Como dato, añado que maxmind es una base de datos que utilizan muchas empresas (hasta yo he trabajado en la mía con esta DB), por tanto, no solo te ocurrirá este problema con underc0de.
PD: No te creas siempre lo que te diga el antivirus, a veces detecta lo legítimo y viceversa ;)