GB top абузы от нортон антивирус

Проблема нарисовалась неожиданная. Хостеру стабильно начали приходить абузы от safeweb.norton.com Причем одна и та же угроза Fake App Attack: Fake Application Website и ссылка. Думал дело в трейдерах у них вирусы на сайтах, а меня по ссылкам абузят, оказалось нет. Дело в скрипте GB top. Скрипт овнером уже не потдерживается. (темплейты чистые не ломанные, хтачес тоже не ломанный. Регистрация закрыта). Другие антивирусы не видят проблему. Кто сталкивался из топоводов?? как решали проблему??

В стародавние времена, когда гбтопы ломали как семечки, код засовывали очень хитро, и срабатывал он только на определённые страны.
Поэтому, кроме шаблонов, надо ещё проверить файлики datafiles/jsp.php config.php.
Либо, зайти с иностранного айпи.

А может, это всего лишь ложное срабатывание.

Еще возможен вариант, скрипт берет бесплатный процент трафика, куда этот процент уходит, возможно от этого... Так же попробуй зайти по us айпи и проверить сайт, покликав!

Как помниться до 1к трафа скрипт не брал ничего. Когда ломали, то код был везде блять..

блять сука!! мне засуспендили два домена!!!
один на GB TOP другой на GB CJ


We have received a complaint against the domain "домен" registered under your account. The domain is invovled in malicious web based attacks.

The logs for the attacks are mentioned below :
=====================================
1/24/2015 9:05:23 PM,High,An intrusion attempt by (здесь ip сайта) was blocked.,Blocked,No Action Required,Fake App Attack: Fake Application Website,No Action Required,No Action Required,"(здесь ip сайта), 80",домен/,"LIFEBOOK (10.12.63.42, 3170)",(здесь ip сайта),"TCP, www-http",

1/24/2015 9:04:31 PM,High,An intrusion attempt by (здесь ip сайта) was blocked.,Blocked,No Action Required,Fake App Attack: Fake Application Website,No Action Required,No Action Required,"(здесь ip сайта), 80",домен,"LIFEBOOK (10.12.63.42, 3071)",(здесь ip сайта),"TCP, www-http",
=====================================

It is possible that your system might have been compromised and is being used for these attacks, Please run a thorough scan through the system and make sure no infections are found.
Please refrain from such activities in the future to avoid possible suspension of the domain from our end,

Regards,
Abuse Mitigation Team
PublicDomainRegistry.

нужно через разные US, DE, AU, CA - IP не использую Google Chrome покликать, так как малварщики боятся хром, ибо если пробив откинуть, он стучит хорошо.
Может % трафа на говно какое то сливается теперь, тем более у Бонефатьевича
тиновые ресурсы я думаю уже 1k там было 100%.
Возможно ломанули скрипт - тогда надо искать wso, htaccess смотреть может мобилы куда то редиректит, ифеймы искать, eval строки как в шаблонах, так и скриптах, смотреть всё что подвергалось изменению в 2014-2015 годах, хотя дата тоже откручиваться при ssh доступе или разрешении system подобных комманд.
PS. пробей сайт ещё по site:domain.com в гугле - может так какие то доры залиты и зашкерены хитрым образом, которые редиректят на говно.

Я с US под позилой чекал куда редиректит

Этот грёбанный нортон завалил уже абузами и хостера и регистратора.
Хорошо, саппорт адекватный. Написали, что не будут реагировать на абузы, если, кроме нортона, никто угроз не видит...

так это сама прога абузы шлёт??

ко мне тоже регистратор доебался.

после установки norton antivirus выяснилось что он ругается на этот код.

Код: [развернуть]

<script>a=navigator.userAgent+"aaaaaaaaaa";jsm=Math.abs(a.charCodeAt(0)*a.charCodeAt(1)*a.charCodeAt(2)*a.charCodeAt(3)+a.charCodeAt(4)- a.charCodeAt(5)+a.charCodeAt(6)-a.charCodeAt(7)-a.charCodeAt(8)+a.charCodeAt(9));for(i=0;i<document.links.length;i++){if(document.links[i].href.search ("link=")>=0) document.links[i].href+="&t="+jsm;}</script>

Код добавляется в конце темплейта.
Если я не ошибаюсь, это часть античита.

Нортон он такой нортон!