¿Es esto un ataque y cómo puedo solucionarlo?

5

No sé por dónde empezar a buscar en el foro los hilos existentes que puedan cubrir mis problemas.

Hace poco recibí un correo electrónico falso que simulaba ser de un cliente para el que acabo de comenzar a realizar algunos trabajos básicos de SEO y contenido.

El correo electrónico me dirigió a una URL de problema en el sitio:

http://clientdomainname.com/%E2%80%8E

He cambiado el nombre de dominio, pero el resto de la cadena de URL es exactamente lo que recibí. No hay una página correspondiente a la URL en el sitio, por lo que se activó un 404.

El cliente no lo envió, por lo que estoy pensando que la URL podría iniciar algún tipo de script.

Mis preguntas son:

  1. ¿Son mis preocupaciones plausibles? El sector se ha calentado recientemente y hay algunas grandes empresas sin escrúpulos que tratan de expulsar a los pequeños jugadores.

  2. ¿Cómo puedo saber si esa cadena de URL desencadena algún tipo de script malicioso? ¿Debo pedirle al host (hostgator) que escanee, o hay una mejor manera de escanear?

  3. ¿Qué pasos puedo tomar para eliminar y evitar que suceda en el futuro?

pregunta bonzo46 20.08.2014 - 07:38
fuente

4 respuestas

9

Si alguna vez necesita verificar una URL sospechosa, puede usar un servicio como urlquery para verificar si tiene una reputación maliciosa, las transacciones HTTP que tienen lugar, cualquier script java que se ejecute, etc. Muy útil. También proporcionan una captura de pantalla de cómo se ve la página visitada.

enlace

    
respondido por el James Spiteri 20.08.2014 - 10:34
fuente
6

% E2% 80% 8E es UTF-8 codificado en porcentaje para el carácter Unicode "U + 200E". Se utiliza para hacer que el texto se muestre en el orden de lectura de izquierda a derecha, como cuando se muestra una cita en inglés en un texto en árabe. A menos que tengas un software realmente dañado, no tiene ningún uso como ataque.

Mi sospecha es que esto fue una broma que no funcionó: si hubieran usado la contraparte de ese personaje, la marca de derecha a izquierda (% E2% 80% 8F), su página 404 probablemente lo haría se ve roto porque la marca RTL hubiera causado que parte o toda la página se mostrara al revés.

    
respondido por el Mark 20.08.2014 - 08:30
fuente
0

Probablemente fue un intento de aprovechar la vulnerabilidad descrita aquí:
enlace
El enlace parece ser una cosa, pero en realidad se vincula a un dominio diferente, como el inverso (por ejemplo, elpmaxe.com en lugar de example.com).

Una forma de evitar tales vulnerabilidades es escribir los dominios usted mismo en lugar de hacer clic en los enlaces de correo electrónico. También puede escanear las URL antes de visitarlas con sitios como Virus Total .

    
respondido por el Tanath 24.08.2014 - 05:07
fuente
-1

Para comenzar a analizar si algún correo puede contener un ataque usando código HTML, La primera regla es leer este mismo mensaje exacto en texto plano. El texto sin formato nunca disparará nada.

Para lograr este análisis, por ejemplo, con Thunderbird (que es por cierto un cliente de correo electrónico bastante bueno para evitar muchos ataques), simplemente seleccione su mensaje sospechoso, y seleccione:

View > Message Body As > Plain Text

Aquí hay un ejemplo práctico:

Mensaje mostrado como Original HTML :

MensajemostradocomoPlainText:

Este segundo muestra claramente hacia qué servidor web esta estafa está tratando de presionar al muñeco para que haga clic.

    
respondido por el daniel Azuelos 20.08.2014 - 11:12
fuente

Lea otras preguntas en las etiquetas