[SOLUCIONADO] (j.maxmind.com) Alerta Malwarebytes

dr3x · Octubre 08, 2017, 07:31:00 PM

parece que hay algo que le incomoda a la versión de Prueba Premium de mi Malwarebytes y cada vez que hago click en cualquier tipo de elemento enlace de la web de este foro (por ejemplo en Inicio, o en Perfil, o en los iconos de arriba, los títulos de subforos, hilos... etc) salta una alarma de bloqueo de un sitio web al que, al parecer, me está intentando redirigir o algo por el estilo.... el sitio web en cuestión es "j.maxmind.com"

alguien tiene el mismo problema? alguna idea de dónde viene esto?

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta El dominio es de una web que ofrece servicios de protección al fraude online

Código: php

whatweb maxmind.com

http://maxmind.com [301 Moved Permanently] Country[UNITED STATES][US], IP[108.168.255.243], RedirectLocation[https://www.maxmind.com/]
https://www.maxmind.com/ [302 Found] CloudFlare, Cookies[__cfduid,mm_session], Country[UNITED STATES][US], HTTPServer[cloudflare-nginx], HttpOnly[__cfduid,mm_session], IP[104.16.37.47], RedirectLocation[/en/home], UncommonHeaders[cf-ray]
https://www.maxmind.com/en/home [200 OK] CloudFlare, Cookies[__cfduid,mm_session], Country[UNITED STATES][US], Frame, HTML5, HTTPServer[cloudflare-nginx], HttpOnly[__cfduid,mm_session], IP[104.16.37.47], PasswordField[password], Script[text/javascript], Title[IP Geolocation and Online Fraud Prevention | MaxMind], UncommonHeaders[cf-ray], probably WordPress

Código: php

root@kalinux:~# nslookup maxmind.com
Server:		192.168.234.2
Address:	192.168.234.2#53

Non-authoritative answer:
Name:	maxmind.com
Address: 108.168.255.243

root@kalinux:~# host maxmind.com
maxmind.com has address 108.168.255.243
maxmind.com has IPv6 address 2607:f0d0:3:8::4
maxmind.com mail is handled by 5 alt2.aspmx.l.google.com.
maxmind.com mail is handled by 5 alt1.aspmx.l.google.com.
maxmind.com mail is handled by 1 aspmx.l.google.com.
maxmind.com mail is handled by 10 aspmx2.googlemail.com.
maxmind.com mail is handled by 10 aspmx3.googlemail.com.

fudmario · Octubre 08, 2017, 11:27:55 PM

Yo uso la version 3.2.2 de Malwarebytes Premium y nunca me salio ese mensaje navegando en el foro.
Revisa las extensiones de tu navegador, pasale Ccleaner, revisa el archivo host.

animanegra · Octubre 09, 2017, 08:12:58 AM

El foro contiene un script dirigido hacia ahi, en el propio index:

Código: php


<script type="text/javascript" src="http://j.maxmind.com/app/geoip.js"></script>

En virus total hay un scan report en el que dos sites denuncian como malo o scam y el resto como buenos:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Igual los admins deberían de ver si realmente metieron ese enlace porque ellos querían o no. En caso negativo igual una medida preventiva sería quitarlo. Pero el enlace a un javascript downlodeado de ahi está, así que no es problema del cliente si no del enlace del propio servidor.

Igual la alerta del antivirus tiene que ver con esto:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como existe un troyano que utiliza esa api de geolocalizacion para sus cosas, igual el antivirus lo achaca a que tienes ese troyano.

dr3x · Octubre 09, 2017, 09:03:07 AM

Como dice @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta el problema es mucho más probable que esté de parte del foro.

De todas formas he revisado las extensiones y el archivo hosts (por si acaso) y no veo nada extraño.
Aunque me extraña que con la misma versión a @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta no le salte la alerta, tienes la bd de Malwarebytes actualizada?

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
El foro contiene un script dirigido hacia ahi, en el propio index:
Código: php
<script type="text/javascript" src="http://j.maxmind.com/app/geoip.js"></script>
En virus total hay un scan report en el que dos sites denuncian como malo o scam y el resto como buenos:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Igual los admins deberían de ver si realmente metieron ese enlace porque ellos querían o no. En caso negativo igual una medida preventiva sería quitarlo. Pero el enlace a un javascript downlodeado de ahi está, así que no es problema del cliente si no del enlace del propio servidor.

Igual la alerta del antivirus tiene que ver con esto:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como existe un troyano que utiliza esa api de geolocalizacion para sus cosas, igual el antivirus lo achaca a que tienes ese troyano.

Quizá tenga más que ver con esto. Al parecer es un servicio de geolocalización, al ser usado por ese troyano está en la base de datos de Malwarebytes.
1. Sólo me ocurre en esta web(la alerta saldría cada vez que hubiese una conexión saliente desde mi equipo hacia ese enlace)
2. El enlace está claramente en el código fuente
3. Por la parte cliente no hay nada extraño

Podemos concluir que es cosa del Foro y que quizá no sea nada peligroso. Aún así no estaría mal que algún admin le echara un ojo.

rollth · Octubre 09, 2017, 09:21:31 AM

Tal vez a uno le salta la alerta y al otro no porque a pesar de estar en el código fuente, el enlace está caído y no se puede cargar el javascript.

Saludos.

ANTRAX · Octubre 10, 2017, 12:33:38 PM

Hola,

Esa linea de código no tiene nada de malo. Solo verifica de donde eres.
En el foro tenemos un mod instalado que es este: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El cual te avisa que el sitio web usa cookies para la navegación. Es algo obligatorio segun una ley de españa.

Lo que hace el mod, es ver de que país vienes y si eres de España, te muestra el cartel notificando que underc0de usa cookies.

Acá puedes ver un hilo que habla más sobre el tema y como usa ese javascript que mencionas que es peligroso:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como puedes ver, solo detecta de donde eres, no hace mas que eso. Pero como bien dijo @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta hay troyanos o botnets que también usan este JS, y es por ello que lo detecta como malicioso. Pero no es más que una función que dice de donde eres.

Perdón la demora en responder, ni yo sabía que hacía, tuve que investigar un poco al respecto.

Saludos,
ANTRAX

blackdrake · Octubre 10, 2017, 05:14:44 PM

Tras la respuesta de @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta marco el tema como solucionado, @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta entendemos tu problema, pero siempre puedes hacer una excepción para que no vuelva a saltar.

Como dato, añado que maxmind es una base de datos que utilizan muchas empresas (hasta yo he trabajado en la mía con esta DB), por tanto, no solo te ocurrirá este problema con underc0de.

PD: No te creas siempre lo que te diga el antivirus, a veces detecta lo legítimo y viceversa

[SOLUCIONADO] (j.maxmind.com) Alerta Malwarebytes

dr3x

Octubre 08, 2017, 07:31:00 PM Ultima modificación: Mayo 23, 2018, 02:26:08 PM por dr3x

fudmario

Octubre 08, 2017, 11:27:55 PM #1

animanegra

Octubre 09, 2017, 08:12:58 AM #2 Ultima modificación: Octubre 09, 2017, 08:21:20 AM por animanegra

dr3x

Octubre 09, 2017, 09:03:07 AM #3 Ultima modificación: Mayo 23, 2018, 02:26:50 PM por dr3x

rollth

Octubre 09, 2017, 09:21:31 AM #4

ANTRAX

Octubre 10, 2017, 12:33:38 PM #5

blackdrake

Octubre 10, 2017, 05:14:44 PM #6