Attention aux référenceurs malveillants

Discussion dans 'Problèmes de référencement spécifiques à vos sites' créé par bAsH, 3 Janvier 2007.

  1. bAsH
    bAsH Nouveau WRInaute
    Inscrit:
    8 Décembre 2005
    Messages:
    20
    J'aime reçus:
    0
    Hello! Today en fesant un peu de référencement j'ai eu droit a une surprise! Je m'inscrit sur un site qui offre l'inscription dans un certain nombre d'annuaires en échange d'un lien.

    Je m'inscrit on me propose plusieurs codes dont celui ci:

    <?
    $logo="http://www.***.com/s/lien-texte.php";
    echo implode("",file($logo));
    ?>

    Etant l'une des premières fois qu'on me propose un code en php a insérer dans mon site je décide d'explorer un peu mieux tout ça voir si ça ne risquerait pas d'éxécuter un script derrière...

    Je pointe mon navigateur sur l'url ou ça ira récuperer le code a afficher, et a ma surprise en affichant la source je suis tombé sur une dizaine d'URL's au lieu d'une comme indiqué, en plus en <noscript>... De quoi se faire bannir par Google je pense...

    <a href="http://www.***.com" target="_blank" alt="Referencement" title="Referencement">R&eacute;f&eacute;rencement</a>
    <noscript>
    <a href="http://www.***.com" target="_blank" alt="sexe gratuit" title="sexe gratuit">sexe gratuit</a>
    <a href="http://www.***.com" target="_blank" alt="caraibes antilles" title="caraibes antilles">caraibes antilles</a>
    <a href="http://www.***.com" target="_blank" alt="jeux casino" title="jeux casino">casinos</a>
    <a href="http://www.***.net" target="_blank" alt="referencement positionnement" title="referencement positionnement">R&eacute;f&eacute;rencement</a>
    <a href="http://www.***.com" target="_blank" alt="gratuit web sexe" title="gratuit web sexe">gratuit sexe</a>
    <a href="http://www.***.com" target="_blank" alt="sexe et charme" title="sexe et charme">sexe charme</a>
    <a href="http://www.***.com" target="_blank" alt="rencontre" title="rencontre">rencontre</a>
    <a href="http://www.***.com/" target="_blank" alt="photos gratuites" title="photos gratuites">photos gratuites</a>
    </noscript>

    Donc faites gaffe parceque ce ne sont pas les seuls!!
     
  2. vpx
    vpx WRInaute impliqué
    Inscrit:
    23 Mars 2004
    Messages:
    852
    J'aime reçus:
    0
    Faut être téméraire pour insérer un include php d'un site étranger sur son propre site...
     
  3. pene-r
    pene-r WRInaute impliqué
    Inscrit:
    12 Janvier 2005
    Messages:
    867
    J'aime reçus:
    0
    Le truc est pas encore au point.
    Il faut mettre un seul lien clean au début et tous les mois tu rajoutes un lien dans le fichier source :lol:
     
  4. ferkcap
    ferkcap WRInaute occasionnel
    Inscrit:
    14 Janvier 2006
    Messages:
    343
    J'aime reçus:
    0
    Tu cherches le ref pratique et rapide tu vas sur Seoref et tu t'executes ou laors welcome dans la bande des à la mano ... prend patience ;)
     
  5. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 274
    J'aime reçus:
    0
    tout à fait.
    Dans quelques jours ou semaines, ils peuvent transformer le script en
    Code:
    <?php
    je me connecte à la base de données.
    je récupère les mots de passe
    et j'affiche tout ça si le visiteur est xxxx (soit avec un get ou un referer ou le navigateur)
    ?>
    oh ben zut, j'ai été hacké et je ne sais même pas comment ils ont fait :lol:
     
  6. bAsH
    bAsH Nouveau WRInaute
    Inscrit:
    8 Décembre 2005
    Messages:
    20
    J'aime reçus:
    0
    Ouais c'est clair c'est le genre de trucs que moi je risquerais pas de faire, mais pas mal de gens qui n'ont pas forcément des conaissances "avancées" risqueraient d'utiliser et ne pas capter la magouille.
     
  7. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 274
    J'aime reçus:
    0
    par contre, c'est vrai que certains annuaires donnent un code à recopier. Le dit code se trouvant dans un iframe minuscule, mais la ligne fait quelques centaines de caractères et contient une dizaine de liens.
    A l'affichage, on ne voit que 1 seul cadre et 1 seul texte. Et ça, je me suis fait avoir au début.
    Maintenant, quand je vais sur un annuaire où le lien retour est demandé, je regarde le code. S'il y a plus d'un lien, j'arrête l'inscription. :?
     
  8. pascal1973
    pascal1973 WRInaute impliqué
    Inscrit:
    24 Septembre 2005
    Messages:
    746
    J'aime reçus:
    0
    Oui beaucoup en echange d'une inscription mettent 5 liens voir plus en lien retour ... arfffffff abusé.... 8O
     
  9. rog
    rog WRInaute passionné
    Inscrit:
    21 Septembre 2006
    Messages:
    1 346
    J'aime reçus:
    0
    désolé mais on ne hacke pas un server avec un echo, la paranoia c'est sain mais dans le cas présent c'est inutile

    le visiteur pourrait etre vulnerable au vol de cookies

    rog
     
  10. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 274
    J'aime reçus:
    0
    dans ce cas, on envoie les infos par un mail() ou alors, dans le cas d'un site e-commerce, on modifie les fichiers de connexion à la banque... ou on modifie les prix si on veut faire soit même des achats :evil:
    Si on n'a pas peur avec l'injection de code php, un vol de cookie, bof :wink:
     
  11. Bouledogue
    Bouledogue WRInaute passionné
    Inscrit:
    15 Juillet 2005
    Messages:
    2 184
    J'aime reçus:
    8
    Perso j'ai un code echo qui vous mets 1500 liens d'un coup...

    <? echo file_get_contents("http://www.liste-annuaires.com/listeannuaires.php"); ?>


    Promis je ne vous ferai pas de misére au niveau hack ...

    :lol: :lol:
     
  12. e-kiwi
    e-kiwi WRInaute accro
    Inscrit:
    23 Décembre 2003
    Messages:
    13 198
    J'aime reçus:
    1
    si avec un echo on peut faire un hack d un site. il suffit dans l include de mettre des echo de nom de variables courtantes utilisées comme nom de bdd / table / login / password et sur un site pas tres bien fait, tu recupere le tout lol
     
  13. yep
    yep WRInaute occasionnel
    Inscrit:
    3 Avril 2004
    Messages:
    252
    J'aime reçus:
    0
  14. bAsH
    bAsH Nouveau WRInaute
    Inscrit:
    8 Décembre 2005
    Messages:
    20
    J'aime reçus:
    0
    Disons que c'est les deux forums sur lesquels je suis le plus actif et j'avais pas trop la motive de faire 2 versions différentes lol.
     
  15. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 274
    J'aime reçus:
    0
    c'est bizarre, en fait sur le hub ils ont complètement occulté la question de sécurité.
    On ne laisse pas faire un include php à n'importe qui. C'est comme si on lui donnait les codes de notre site :roll:
     
  16. pascal1973
    pascal1973 WRInaute impliqué
    Inscrit:
    24 Septembre 2005
    Messages:
    746
    J'aime reçus:
    0
    Salut , de toute façon rien ne vaut un ref manuel et naturel ... c'est long mais ca payes au fur et à mesure du temps .

    :)
     
  17. mowmow
    mowmow WRInaute impliqué
    Inscrit:
    3 Novembre 2004
    Messages:
    865
    J'aime reçus:
    0
    :roll:

    Depuis quand on peut exécuter du code qui est sur un serveur distant ? :lol:

    C'est pas un include, c'est un file, quand bien même, ca ne changerait rien vu que ca récupère l'output (le code html généré) fourni par le fichier.

    Au final il n'y a que des problèmes de sécurité javascript. Il suffit de traîter la chaine distante comme il le faut.
     
  18. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 274
    J'aime reçus:
    0
    sauf si dans le file, j'envoie des <?php moncodedehacker ?>
    et là ce n'est pas que du js qui sera mis. C'est la même chose, en pire, que la sécurisation de formulaire.
    en plus, le implode voudrait dire que la variable reçoit un array() :evil:
     
  19. rog
    rog WRInaute passionné
    Inscrit:
    21 Septembre 2006
    Messages:
    1 346
    J'aime reçus:
    0
    lol

    bonnes réactions

    @leonick
    la commande file retourne un array, c'est le pourquoi du implode

    cette echo offre une multitude de possibilité de hacking

    si la régie se fait hacker elle met en danger son portefeuille de diffuseurs

    rog
     
Chargement...
Similar Threads - Attention référenceurs malveillants Forum Date
Attention Arnaque OVH Nom de Domaine/ Hébergement Administration d'un site Web 28 Octobre 2018
Attention aux avis de sites tiers en SEO Local ! Référencement Google 9 Septembre 2016
T.co passe en HTTPS, attention au referrer Twitter 18 Septembre 2015
Attention au code porno injecté sur vos sites Administration d'un site Web 15 Septembre 2015
Faire attention à la suroptimisation Débuter en référencement 4 Juillet 2015
Logo Google+ : attention de respecter le design! Google+ 6 Octobre 2014
Vendeurs: Attention aux arnaques Paypal e-commerce 30 Septembre 2014
Attention braves gens, un autiste est parmi vous ! Problèmes de référencement spécifiques à vos sites 10 Mars 2014
Attention ARNAQUE prevenez vos clients Référencement Google 12 Décembre 2012
Attention, OVH semble à nouveau bloquer Googlebot Administration d'un site Web 18 Octobre 2012
Que faire ? "Attention, l'accès à ce site risque d'endommager votre ordinateur." Crawl et indexation Google, sitemaps 24 Août 2012
AdWords : Attention aux offres douteuses AdWords 31 Juillet 2012
Attention, dixit Google, la liberté d'expression est en péril Google : l'entreprise, les sites web, les services 19 Juin 2012
Attention au contenu de vos twitt, l'intéret du sujet aboder et qualité rédactionnel. Autres réseaux sociaux 28 Janvier 2012
DailyMotion : attention, l’abus de publicité tue la publicité et la vidéo Le café de WebRankInfo 26 Janvier 2012
Attention ! Google chamboule l'ordre de ses résultats à nouveau Référencement Google 4 Novembre 2011
Attention offre de référencement : hack ? Problèmes de référencement spécifiques à vos sites 26 Mai 2011
attention au faux RSI Droit du web (juridique, fiscalité...) 9 Mai 2011
[INFO] fail2ban vs crawler: attention ban Administration d'un site Web 3 Janvier 2011
attention au canonical Référencement Google 20 Octobre 2010