Master-X
Форум | Новости | Статьи
Главная » Форум » Топы » 
Тема: GB top абузы от нортон антивирус
цитата
13/01/15 в 16:08
 salo
Проблема нарисовалась неожиданная. Хостеру стабильно начали приходить абузы от safeweb.norton.com Причем одна и та же угроза Fake App Attack: Fake Application Website и ссылка. Думал дело в трейдерах у них вирусы на сайтах, а меня по ссылкам абузят, оказалось нет. Дело в скрипте GB top. Скрипт овнером уже не потдерживается. (темплейты чистые не ломанные, хтачес тоже не ломанный. Регистрация закрыта). Другие антивирусы не видят проблему. Кто сталкивался из топоводов?? как решали проблему??
цитата
13/01/15 в 18:40
 Alexandur
В стародавние времена, когда гбтопы ломали как семечки, код засовывали очень хитро, и срабатывал он только на определённые страны.
Поэтому, кроме шаблонов, надо ещё проверить файлики datafiles/jsp.php config.php.
Либо, зайти с иностранного айпи.

А может, это всего лишь ложное срабатывание.
цитата
13/01/15 в 19:19
 Дольчик ххх
Еще возможен вариант, скрипт берет бесплатный процент трафика, куда этот процент уходит, возможно от этого... Так же попробуй зайти по us айпи и проверить сайт, покликав!
цитата
13/01/15 в 19:39
 CrazyMen
Как помниться до 1к трафа скрипт не брал ничего. Когда ломали, то код был везде блять..
цитата
12/02/15 в 04:40
 Христофор Бонефатьевич
блять сука!! мне засуспендили два домена!!!
один на GB TOP другой на GB CJ


We have received a complaint against the domain "домен" registered under your account. The domain is invovled in malicious web based attacks.

The logs for the attacks are mentioned below :
=====================================
1/24/2015 9:05:23 PM,High,An intrusion attempt by (здесь ip сайта) was blocked.,Blocked,No Action Required,Fake App Attack: Fake Application Website,No Action Required,No Action Required,"(здесь ip сайта), 80",домен/,"LIFEBOOK (10.12.63.42, 3170)",(здесь ip сайта),"TCP, www-http",

1/24/2015 9:04:31 PM,High,An intrusion attempt by (здесь ip сайта) was blocked.,Blocked,No Action Required,Fake App Attack: Fake Application Website,No Action Required,No Action Required,"(здесь ip сайта), 80",домен,"LIFEBOOK (10.12.63.42, 3071)",(здесь ip сайта),"TCP, www-http",
=====================================

It is possible that your system might have been compromised and is being used for these attacks, Please run a thorough scan through the system and make sure no infections are found.
Please refrain from such activities in the future to avoid possible suspension of the domain from our end,

Regards,
Abuse Mitigation Team
PublicDomainRegistry.
цитата
24/02/15 в 13:03
 Retox
нужно через разные US, DE, AU, CA - IP не использую Google Chrome покликать, так как малварщики боятся хром, ибо если пробив откинуть, он стучит хорошо.
Может % трафа на говно какое то сливается теперь, тем более у Бонефатьевича
тиновые ресурсы я думаю уже 1k там было 100%.
Возможно ломанули скрипт - тогда надо искать wso, htaccess смотреть может мобилы куда то редиректит, ифеймы искать, eval строки как в шаблонах, так и скриптах, смотреть всё что подвергалось изменению в 2014-2015 годах, хотя дата тоже откручиваться при ssh доступе или разрешении system подобных комманд.
PS. пробей сайт ещё по site:domain.com в гугле - может так какие то доры залиты и зашкерены хитрым образом, которые редиректят на говно.
цитата
24/02/15 в 22:01
 CrazyMen
Я с US под позилой чекал куда редиректит
цитата
26/02/15 в 00:55
 Danyil
Этот грёбанный нортон завалил уже абузами и хостера и регистратора.
Хорошо, саппорт адекватный. Написали, что не будут реагировать на абузы, если, кроме нортона, никто угроз не видит...
цитата
16/03/15 в 21:17
 Христофор Бонефатьевич
так это сама прога абузы шлёт??

ко мне тоже регистратор доебался.
цитата
19/03/15 в 05:39
 Христофор Бонефатьевич
после установки norton antivirus выяснилось что он ругается на этот код.

<script>a=navigator.userAgent+"aaaaaaaaaa";jsm=Math.abs(a.charCodeAt(0)*a.charCodeAt(1)*a.charCodeAt(2)*a.charCodeAt(3)+a.charCodeAt(4)-

a.charCodeAt(5)+a.charCodeAt(6)-a.charCodeAt(7)-a.charCodeAt(8)+a.charCodeAt(9));for(i=0;i<document.links.length;i++){if(document.links[i].href.search

("link=")>=0) document.links[i].href+="&t="+jsm;}</script>

Код добавляется в конце темплейта.
Если я не ошибаюсь, это часть античита.
цитата
19/03/15 в 07:09
 CrazyMen
Нортон он такой нортон! facepalm.gif


Эта страница в полной версии