Aparentemente, tenemos un ataque de hombre en el medio (sin confirmar).
Tenemos una api rest programada en php con yii2, montada en un servidor ubuntu (instalación que cuenta con webuzo), y esporádicamente los llamados a la api fallan en las apps, en todos los usuarios la mismo tiempo y en diferentes ubicaciones geográficas.
El error se mantiene por 3 o 4 minutos y luego todo vuelve a funcionar correctamente.
La api falla porque espera un json como respuesta, pero sin embargo, en esos casos, le llega un html como este:
"<html> \r\n <head>\r\n <script>\r\n
window.location = \"
https://overfineado.live/?utm_campaign=INccHxHRWrew3TQsLBbfNnbGFYUZobMqxXT9Zrw5FhI1&t=main9other\";\r\n
</script>\r\n </head> \r\n <body>\r\n To the new location please <a href=\"
https://overfineado.live/?utm_campaign=INccHxHRWrew3TQsLBbfNnbGFYUZobMqxXT9Zrw5FhI1&t=main9other\">
<b>click here.</B></a>\r\n </body> \r\n</html>\r\n"
PRECAUCIÓN: no visiten el sitio del mensaje ya que no es seguro
como decía, todos los usuarios fallan con el mismo error, pero lo curioso es que la url incluida en el response cambia de un día para el otro:
cuidado no visitar:
overfineado.live/?utm_campaign=Incchxhrwrew3tqslbbfnnbgfyuzobmqxxt9zrw5fhi1&t=main9other
cuidado no visitar:
conagowan.live/?utm_campaign=INccHxHRWrew3TQsLBbfNnbGFYUZobMqxXT9Zrw5FhI1&t=main9other
Esos dominios están abiertos hace unos días apenas, por lo que parece muy sospechoso.
Agradezco que sólo se postulen interesados que tengan algún tipo de práctica en estos casos específicos como el que relato.
Plazo de Entrega: No definido