Question comportement Google et autres moteurs

Nouveau WRInaute
Bonjour à tous,
Voici le problème rencontré :
1 site est accessible parfaitement depuis son URL -http://www.dervy-medicis.com ou encore -http://dervy-medicis.com
Mais quand on fait la recherche dans Google avec les mots "dervy medicis" les liens sensés pointer vers le site (ils semblent corrects au survol) sont interceptés et routés vers une page de hack qui varie selon le lien de départ mais aboutie à un clone de page google sur jetpassion76.com
Le problème est constaté sur FF, IE... mais pas sur Safari ou Chrome

Complément d'info, FF déclare déjà le site jetpassion76.com comme falsifié mais cela ne résout pas le problème qui semble se passer chez Google ou du coté du dns.
Je suis en Bretagne et j'ai tenté l'accès avec les DNS de mon FAI ou les DNS de Google => idem
J'ai contacté 2 collaborateurs en France : 1 en RP, un autre dans les Alpes => même problème constaté, curiosité suscitée.
Toutes les vérifications d'usage ont été faites coté DNS et serveur et Webmasters-tool ne donne aucune info particulière sur le phénomène. Le site est Clean (pas de piratage coté serveur, htacces correct pas de script indésirable...) la preuve l'accès direct par l'url dans le navigateur est ok.

Avez-vous déjà rencontré un tel problème ?
Connaissez-vous une solution ?
 
WRInaute accro
Deux petite question:

* tes collaborateurs et toi, vous utilisez le même point d'accès à internet? Les mêmes services de DNS?

* t'as fait vider les caches, avant?
 
WRInaute discret
gnidhal a dit:
(pas de piratage coté serveur, htaccess correct pas de script indésirable...) la preuve l'accès direct par l'url dans le navigateur est ok.
Il faut vérifier à nouveau minutieusement qu'un fichier du style "index.php", "default.php" ou "home.php", n'a pas été collé dans les dossiers, contenant une commande de redirection vers jetpassion76.com. Puisqu'une partie du site a été hackée, une action a donc eu lieu sur un élément du site. La page index s'affichant sans problème, l'action n'a pas eu lieu à la racine du serveur.

un clone de page google sur jetpassion76.com
Il s'agit d'une image de capture de la page d'accueil de Google en anglais s'affichant depuis de cette url :
-http://www.jetpassion76.com/libraries/pear/archive_tar/google.JPG
Il faut donc aussi contacter l'administrateur du site jetpassion76.com, qui ne sait peut-être pas que son site est utilisé à de telles fins, afin qu'il supprime cette image.
 
Nouveau WRInaute
Merci de vos réponses ,
@JanoLapin
1- non : ni même FAI, ni même DNS, et le second ne connaissait pas le site et a découvert le même problème que je cite ci-dessus sans savoir ce qu'il allait trouver. De plus sa machine est sous Linux.
2- caches vidés plusieurs fois, DNS changés, test depuis 2 FAI ici avec des machines différentes et des navigateurs divers

@Labroc : Bien sur, j'ai regardé partout coté serveur. Rien trouvé de suspect.
Et si il y avait un script suspect sur le site :
1/ l'accès par l'url directe ferait les mêmes redirections, or si tu vas en direct sur le site sans passer par un moteur de recherche, l'accès fonctionne sans problème
2/ Google Chrome et Opera ne subissent pas la redirection,
si le site était en cause, il me semble que l'accès direct ou les différents navigateurs auraient le même comportement.

Mais je vais creuser de ce coté.
 
WRInaute discret
Vérifie à nouveau ton .htaccess quand même, j'ai eu ce coup la il y a quelques années sur un site.
En fait en descendant dans le fichier on ne voyait pas directement le code rajouté car il avait été placé sur la droite hors écran, je m'en suis rendu compte car la barre de défilement horizontal était apparue.
 
Nouveau WRInaute
Ok, c'est en effet un piratage de script bien mené.
Je vais éplucher tout ça et reviendrai peut-être vous donner des infos si elles sont intéressantes.

Pardon pour le bruit, mais le comportement d'une redirection 302 uniquement quand on vient d'un moteur (en venant de google ou de bing ça faisait pareil) est assez fin.
Je pense à une faille de virtuemart car l'attaque semble avoir commencée par le dossier Images.
Le .htaccess n'a pas été touché
 
WRInaute accro
gnidhal a dit:
l'accès par l'url directe ferait les mêmes redirections, or si tu vas en direct sur le site sans passer par un moteur de recherche, l'accès fonctionne sans problème
T'a trouvé il me semble mais j’allais te le dire beaucoup de redirection testent le referer avant d'agir ...
 
Nouveau WRInaute
Merci zeb,
en effet le code malicieux teste le referer et le user_agent.
Mais le code trouvé a plusieurs variantes et une des redirections allait vers -http://tinyurl.com suivi d'un sous-dossier
J'ai alerté le contact du site en espérant qu'il y ait encore quelqu'un au bout de la ligne
Plusieurs backdoors avaient été posées dans plusieurs sous-dossiers et les fichiers infectés n'avaient apparemment pas été modifiés (même date que l'original dans le ftp)
un grep de chaine "eval(base64" m'a parmi de trouver les fautifs.

Demande complémentaire : j'ai trouvé dans les logs plusieurs IP qui ont activé les scripts malicieux sur 24H.
Je n'ai pas bloqué ces IP sachant à quel point il est facile de contourner ce blocage par un proxy.
Ma question est donc :
que vaut-il mieux faire avec ces IP : les bloquer ou les ignorer?
Accessoirement, Existe-t-il un serveur communautaire où les déclarer comme malfaisantes ?
 
WRInaute accro
Bah les IP c'est "pisser dans un violon" dans la mesure ou ça peut venir d'un backdoor sur le PC de Mme Michu au fin fond de la Bretagne médiévale ...

Le truc c'est de comprendre comment ils sont rentrés .. ET de faire des contrôles réguliers des scripts du site.
Perso j'ai un utilitaire sur mon CMS qui fait une récursion sur les dossier de l'hébergement et qui stoque en base les hash md5 des fichiers dans une table. Un autre script me fait une différence entre la table référence (le scan après install du site) et ce que je viens de scanner. Ça me permet de détecter très vite les nouveau fichiers sur le serveur (dans beaucoup de cas c'est normal), mais surtout les changements sur les fichiers vitaux qui n'ont pas pour vocation de changer de signature.

J'ai tjs pensé automatiser avec un CRON mais c'est pas encore fait auquel cas je pourrait même envoyer des alertes mails sur certains critères.
 
Nouveau WRInaute
Bonjour

J'ai le même soucis quand je veux aller sur Gestan.fr via google je suis rediriger vers http://www.jetpassion76.com/libraries/pear/archive_tar/

Là je viens de tester l'accès a gestan.fr j'ai ce message :
Un problème technique fait que gestan.fr est actuellement indisponible.
Nous faisons notre possible pour le rétablir aussi rapidement que possible.
Pour télécharger Gestan, vous pouvez vous rendre à cette adresse.
Nous vous prions de nous excuser de cette gène momentanée.

et le forum de forum.gestan.fr je l'ai mais sans les css page blanche avec tous les liens en colonne !!
 
Discussions similaires
Haut