We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Phising


deimos81
18/02/2016, 17:43
Bueno he encontrado la web en cuestión (si que es similar a una caja de ahorros) y al parecer hay o ha habido contenido malicioso en ella. No es OVH quien bloquea si no el propio google.

Habéis probado pasar alguna herramienta que busque scripts maliciosos y una vez limpio ir al panel de google webmaster tools e indicar que esas url ya están limpias?

Probad esto por si encuentra algo: https://www.rfxn.com/projects/linux-malware-detect/

alvaroag
16/02/2016, 15:50
Bueno, el soporte de OVH, en ocasiones, deja mucho que desear.

Sin embargo, hay algo en tu caso que me resulta particular..... OVH no implemente ningún tipo de filtrado por URL para los servidores dedicados. Si hay alguna denuncia sobre tu servidor, lo único que hacen después de advertirte es bloquear el servidor, forzarlo a modo rescue, o cancelar el servicio. Un filtrado de URL ni siquiera está entre las acciones que OVH toma en estos casos. Estás seguro que no se trata de algún problema del servidor? Talvez has sido víctima de un ataque.

dinamicarea
16/02/2016, 15:03
Si ponemos la IP del servidor, podemos ver la web sin problemas, el filtro lo hacen a nivel de URL, por ejemplo, esto es lo último que hemos recibido:

* hxxp : / /www.***.com/inicio.do%3Bjsessionid=
* hxxp : / /www.***.com/busquedaHeader.do
* hxxp : / /www.***.com/inicio.do;jsessionid=D7DC6BB6F77A8C0F50279C81E1C03 2CA
* hxxp : / /.***.es/inicio.do;jsessionid=
* hxxp : / /www.***.com/errorPublico.do;jsessionid=F33216CBEE212D791703573 739F2DFE4
* hxxp : / /www.***.com/errorPublico.do;jsessionid=6A5369EA7A33A41E518A26D 23B2E8A0E
* hxxp : / /www.***.com/errorPublico.do;jsessionid=FDB643DB822ADFD9F0A5423 1CCECAE63
* hxxp : / /.***.es/inicio.do;jsessionid=E0AE7572F427B6EA5499B4A1D6429 D52
* hxxp : / /.***.es/errorPublico.do;jsessionid=FDB643DB822ADFD9F0A5423 1CCECAE63
* hxxp : / /.***./inicio.do;jsessionid=74FF1B68DB3DA496866A6A1E25959 F70
* hxxp : / /.***./inicio.do;jsessionid=F7B3919DD8F258375910429D27226 E4E

Y seguimos recibiendo correos... nuestro cliente acaba de enviar un correo electrónico a la dirección que se supone está asociado a nuestro caso, pero seguimos recibiendo estos correos de bloqueo por phising.

Es absurdo, porque en la web del banco hay un enlace a este portal.

Acabamos de migrar a otro proveedor, en mi última comunicación con OVH Hispano es que esto lo lleva un equipo con los que no pueden comunicarse. En otro de los correos nos dice que el sistema que identifica phising es automatico y no gestionado, y que no pueden manipularlo, así que, si no tenemos otra solución, migraremos...

alvaroag
16/02/2016, 13:03
Como es que te bloquean solo una parte de lo alojado en el servidor?

Por otro lado, no puedes conseguir una carta de tu cliente indicando que el sitio el legal?

dinamicarea
16/02/2016, 11:24
Buenas,

Os pido ayuda, a ver si alguno ha estado en esta situación y nos puede orientar, ya que estamos "bloqueados"...

Nos han cerrado determinadas direcciones URL de un portal que tenemos alojado en un servidor dedicado por temas de Phising, el problema es que la página es legítima, y nuestro clientes es un banco que muestra viviendas en venta.

Entendemos que es porque tiene el logo del banco y algún sistema ha detectado la "similitud", pero no tenemos forma de que nuestro cliente notifique la validez del portal, tipo FAX, Burofax o similar.

Desde el soporte telefónico, después de largas llamadas, no pueden hacer nada, ya que el departamento de Abuse es independiente y no hay forma de contactar con él, solo por correo electrónico.

Por correo electrónico se limitan a decirnos que actualice el CMS y que cuando elimine el phising, nos volverán a activar el portal, pero no se "creen" que la página es legítima.

Si alguno ha tenido este problema y sabe como agilizarlo, llevamos con presión del cliente desde ayer (determinadas páginas cerradas) y ya hoy está todo el portal bloqueado, de hecho, si no resolvemos, a las 14:00 migraremos todos los sistemas a otro proveedor...

Gracias de antemano por vuestras respuestas y/o orientaciones...