Google et la (fausse) détection de code malveillant

[Dertron]

Salut,

J'aimerais savoir si vous avez déjà entendu parler d'un cas similaires... Mardi, Google a trouvé un "code malveillant" sur notre site internet biosense.fr. D'où blocage de notre compte AdWords, et surtout renvoi de l'information aux navigateurs Firefox et Chrome qui affichaient systématiquement un message d'avertissement (site dangereux pour votre PC, n'y allez pas). Normal en soi. Sauf qu'à posteriori, notre site internet n'avait rien...
Explications. Direction les outils pour webmaster pour voir d'où vient le problème : il s'agirait d'un javascript "malicieux" repéré sur toutes nos pages. Sauf que en regardant de près, impossible de trouver le moindre problème sur notre site internet.

Voici ce que j'ai fait :
- vérification de tous les fichiers sources du serveur servant à afficher les pages (html, php, js, css...) : aucun code malveillant trouvé (iframes, script, etc.)
- aucun fichiers modifiés sur notre serveur sur la période d'infection (avec la commande find)
- aucune connexion (ftp ou ssh) sur notre serveur dédié non authentifiée
- aucune trace suspecte sur les fichiers log (apache, ssh, ftp, ssl, suphp...)
- vérification DNS du domaine biosense.fr avec des outils comme http://www.dnscolos.com : biosense.fr pointe bien vers notre serveur dédié.

Nous avons par ailleurs testé notre site avec différents outils de détection : aucun n'a trouvé de problème sur notre site, hormis l'avertissement du blacklistage par Google.
Voici les outils utilisé :
- McAfee site advisor
- Unmask Parasites http://www.unmaskparasites.com/
- http://sitecheck.sucuri.net/scanner/
- http://soswebscan.com
- ...

La seule explication au problème rencontré serait une erreur sur les DNS (en consultant biosense.fr, Google aurait été redirigé vers un autre serveur). Mais les DNS du domaine biosense.fr sont gérées par la société OVH qui n'a décelé aucun problème.

Donc après toutes ses vérifications, j'ai finalement demandé l'examen par Google pour supprimer le blacklistage, en croisant les doigts car je n'avais rien corrigé (n'ayant rien trouvé...) Google nous a renvoyé un mail 8 heures plus tard pour nous dire que tout était rentré dans l'ordre. En attendant, notre site s'est retrouvé coupé du monde pendant presque 2 jours : adwords bloqué, référencement naturel bloqué, et surtout consultation bloquée.

Le problème soulevé, c'est que Firefox utilise les données Google pour déterminer si un site est dangereux. Et fait donc confiance à une société commerciale pour une information purement technique. Hier, Google avait le pouvoir de supprimer 90% du trafic d'un site en le faisant disparaître de sa base. Aujourd'hui, Google va plus loin en ayant le pouvoir d'empêcher que l'on consulte un site. On pourrait imaginer qu'un jour les banques demanderont à Google son avis pour accepter le paiement d'un client De plus en plus fort...

Qu'en pensez-vous, avez vous des exemples similaires de fausses détection de code malveillant par Google ?

PS : on ne sait jamais, il y a peut-être vraiment un code malveillant sur mon site, mais en tout cas Google ne le retrouve plus et tant mieux !

[WebRankInfo]

il me semble que Google se base sur la liste gérée par http://www.stopbadware.org/home/badware
ce n'est donc pas Google qui est à l'origine de la classification "site dangereux"

cf. http://www.google.com/support/websearch/bin/answer.py?hl=fr&answer=45449

[Dertron]

Non, en fait il me semble que stopbadware.org contient seulement des ressources sur les badwares. Ils s'appuient sur Google Safe Browsing pour déterminer si un site est infecté. Et ils indiquent qu'une fois que ton site est désinfecté (!), il faut le soumettre à Google via Outils pour Webmasters. cf http://www.stopbadware.org/home/reviewinfo
D'ailleurs, je viens de me rendre compte que l'outil qui permet de tester si un site contient un badware contient l'historique des problèmes rencontrés.
http://www.google.com/safebrowsing/diagnostic?site=exemple.com (remplacer exemple.com par votre site)
Donc si mon problème n'en était pas un, ça restera écrit. Un peu comme un casier pas vierge pour quelqu'un qui n'a jamais rien fait de mal !

[UsagiYojimbo]

Tu as tenté de demander un re-examen : https://www.google.com/webmasters/tools/reconsideration?hl=fr&pli=1 ?

[Dertron]

En fait, les data utilisées par stopbadware proviennent de google, GFI et NSFOCUS (http://www.stopbadware.org/partners). Mais Firefox par exemple prend les infos seulement auprès de google, sans passer par stopbadware.

[Dertron]

Salut UsagiYojimbo, en fait, je n'ai plus de problème personnellement, vu que Google a bien pris en compte ma demande et a réactivé mon site. Donc pas besoin que je le soumette à nouveau. Mon interrogation est qu'est-ce qui s'est passé, pourquoi, et est-ce que ça va recommencer ! Surtout que mon site n'était (à priori) pas infecté... Et est-ce que ça va vous arriver !!!

[bee_human]

Donc si mon problème n'en était pas un, ça restera écrit. Un peu comme un casier pas vierge pour quelqu'un qui n'a jamais rien fait de mal !

Visiblement, il garde un horizon de 90 jours. Je suis dedans après un hack au 10 novembre. Je regarderai en février si je disparais.

[Dertron]

Pour ton site, il y avait vraiment eu hack ?

[bee_human]

Pour ton site, il y avait vraiment eu hack ?

Oui, faille Zenphoto.

[Dertron]

Et voilà que ça recommence ...
Nouveau blacklistage par Google pour code malveillant, le 22 décembre vers minuit. Même topo que fin novembre, je n'ai rien trouvé de louche sur le serveur, et pas de problème pour consulter le site (hormis le message sur Firefox qui s'appuie sur Google), et rien dans le code source de la page affichée. Rebelotte avec Adwords, blocage des campagnes publicitaires. Même solution que la dernière fois, j'ai rempli les formulaires Google pour prévenir que "tout était rentré dans l'ordre". Même si je n'avais rien fait... Et même réponse de Google : "plus de malware détectés" => le compte est réactivé, donc plus de message sur Firefox et pubs Adwords qui apparaissent à nouveau.

Une fois de plus, quelques jours de perdus pour rien. Je suis toujours le seul à qui cette mésaventure arrive ?

[Dertron]

Pour info, je suis à nouveau blacklisté par Google depuis 16h00. Si je vais sur mon site w w w . b i o s e n s e . f r et que je regarde le code source, je ne vois rien de louche. Et vous ?

[UsagiYojimbo]

Quand j'accède au site, je suis redirigé sur une page maintenance.html. Normal ? As-tu testé de modifier ton user-agent et de choisir celui de Google pour voir ce qui s'affiche (via le plugin user agent switcher par exemple) ?

[Wainithy]

Je suis toujours le seul à qui cette mésaventure arrive ?

Hélas non, j'ai le même souci sur un site. j'ai chopé le malware à cause d'une faille de sécurité de ZenPhoto et depuis un mois le site est blacklisté par Google.
Comme toi, j'ai remis le site en uploadant une version propre, écransant ainsi les .htaccess.
J'ai viré aussi ZenPhoto et tous les liens s'y rattachant, pour passer sur un script Piwigo.
Comme toi, j'ai fait appel aux outils de diagnostic Google qui n'ont plus rien trouvé de malveillant sur le site.
J'ai fait trois demande d'examen, celles-ci sont revenue négative. Le site est donc propre mais je suis toujours blacklisté par les moteurs de recherche !!!
Je ne sais plus quoi faire, help me please ...

Site en question : www.guillaumeclouet.fr

[UsagiYojimbo]

Je pense que tu as un problème sur ton site, parce qu'il est de toute façon impossible d'y accéder sur Firefox.

[zeb]

de toute façon impossible d'y accéder sur Firefox.

Chez moi ça passe.

Le site est donc propre mais je suis toujours blacklisté par les moteurs de recherche !!!

Qu'est ce qui te faire dire ça ? perso je ne voie rien qui puisse laisser suposer que tu soit en blackliste.
Si en revanche tu constate un trafic faible et que c'est ce qui te fait penser que tu as un souci il peut très bien s'expliquer autrement.
Il faudrait plus de détails.