Copie étrange de mon site

noren · 15 Juillet 2013

Bonjour

Voilà depuis plus d'un mois je me bat contre une personne qui essaye de nuire à mon site en copiant mon contenu.

Aujourd'hui j'ai constaté que l'intégralité de mes pages (même les plus récentes) étaient présentes sur son site.
En prenant bien soin de remplacer monnomdedomaine.ndd/lespagesdusite.html par sonnomdesite.ndd/lespagesdusite.html

Chose très étrange si je bloque l'ip de son site (serveur) sur mon .htaccess les pages de son site deviennent inaccessibles (erreur 404)

C'est quoi ce tour de magie? Comment peut-il créer un tel lien entre son site et mon site? Sachant que ce n'est pas une redirection 301 ou 302 vers mon site.

D'après ce que j'ai pu lire un plugin wordpress permettrait peut être ce tour de magie. Peut-être affiche t-il à la volé les pages de mon site par le biais d'un script qui prend en plus bien soin de changer les url interne par celles de son ndd.

Est-ce possible?

Et si c'est le cas peut-on bloquer ce genre de plugin à partir de mon .htaccess?

Sachant également que toutes mes images etc. étaient bien affichées sur ces pages.

PS : d'ailleurs merci à Ybet pour sa solution de bannir l'Ip qui semble dans ce cas présent être plutôt efficace. Maintenant reste à savoir comment fait le plagieur :?

noren · 16 Juillet 2013

Alors je confirme

Il affiche mon site à la volée, je ne sais pas comment par contre.

J'ai fait un petit test, j'ai changé une image, et ça l'a automatiquement changé sur son site également. Pourtant l'url de l'image sur son site pointe sur son ndd et pas sur le mien.

En bloquant l'ip de son serveur je règle le problème mais j'aimerais bien comprendre ce tour de magie.

passion · 16 Juillet 2013

noren a dit:
....D'après ce que j'ai pu lire un plugin wordpress permettrait....

Si j'ai bien compris c'est un WP?
As-tu déjà demandé de l'aide sur leur forum?
J'imagine malheureusement que ce genre de hack ne doit pas être isolé.

Courage

noren · 16 Juillet 2013

Aucune idée si il s'agit d'un wordpress ou non j'en ai juste émis l'hypothèse d'après mes recherches :wink:

Soit il s'agit d'un script fait maison qui lis le site externe en modifiant à la volée les monsite.ndd par sonsite.ndd, résultat tout mon site s'affiche sur son ndd à la volée automatiquement.

Soit d'un script existant et paramétrable sur des CMS. Et il me semble avoir lu qu'un plugin wordpress existait et permettrait de créer ainsi facilement du DC.

Merci pour tes encouragements :wink:

jolm · 16 Juillet 2013

A mon avis il ouvre la page de ton site via son script php à la volée (en gros il reçoit l'url en get, il ouvre cette dernière via un truc du genre fopen ou get_file_content, il traite vite fait les parties ayant ton ndd en le remplaçant par le sien et puis il affiche). Quand tu coupes (bannissement de l'IP) et bien le script va chercher une page vide et il n'a donc plus rien à se mettre sous la dent. En tout cas, si le mec est en France (ou autre pays qui collabore) faut attaquer direct, c'est de l'argent frais facile (et justifié) à faire.
Après c'est une réponse rapide après une lecture rapide ...

noren · 16 Juillet 2013

merci jolm, non ça me semble cohérent

avec ce système il peut même afficher mes propres URL?

il n'est pas hébergé en France.

Haroeris · 16 Juillet 2013

Ce site a bien une ip différente de ton propre serveur ?

noren · 16 Juillet 2013

oui oui et lorsque je bloque son IP tout plante de son côté

Haroeris · 16 Juillet 2013

ce qui est étonnant c'est qu'il ne hotlink pas les images, une simple aspiration à tendance à garder l'url originale des images, la il est obligé de les uploader

noren · 16 Juillet 2013

et comment pourrais tu expliquer cela?

Haroeris · 16 Juillet 2013

Suis assez curieux de voir comment ça fonctionne, si tu peux me donner le lien, éventuellement en mp.

iomgui · 17 Juillet 2013

Hello,

J'ai eu le même problème avec un type qui a utilisé le même système... Un tour sur whois, un mail à son @abuse et ca a été très vite réglé...

Bon courage

noren · 17 Juillet 2013

Salut

je ne vois pas dans le whois de mail de type "abuse", le seul mail est contact@ndddusite.com (étrange d'ailleurs que ça ce mail dans le whois, ce n’est pas très personnel comme email!).

La de toute façon je bloque l'ip de son serveur et me met également en relation avec google pour les droits d'auteurs.

J'en parle ici :

https://www.webrankinfo.com/forum/suppression-contenu-portant-atteinte-aux- ... 55951.html

Leonick · 18 Juillet 2013

tu n'aurais peut-être pas du faire ton blocage, histoire que gg voit directement le problème et puisse modifier ses algo pour éviter de tels cas (ce site ne doit pas être le seul à procéder de la sorte)

noren · 18 Juillet 2013

Ne sachant pas combien de temps allez mettre google pour répondre et si une action allait être prise, je ne pouvais pas me permettre d'attendre que toutes les pages du site plagieur soit référencées et finissent par me couler définitivement.

De plus j'avais pas vu au départ qu'en bloquant l'ip ça créait des erreurs 404 sur le site plagieur :wink:
D'ailleurs le plagieur avait du changer d'hébergement car son IP avait changé, j'en avait déjà bloqué une.

Par mail j' ai transmis les infos à google en leur précisant que j'avais bloqué l'IP du serveur en question, mais dans la cache google il y a encore des preuves de l'infraction

Là j'attends leur réponse. Si jamais ils ne font rien ou ne voient rien, je referais une plainte quand le blocage IP ne sera plus efficace :wink:

je n'ai pas dit mon dernier mot.

J'ai au moins pu voir que google réagissait assez vite pour les problèmes de droits d'auteurs.

Amar Guerfi · 15 Juin 2015

Hello Noren et les autres,

J'ai exactement le même problème, c'est assez incroyable.

Par contre, dans mon cas, même en bloquant l'IP dans le .htaccess le site continue de copier le mien à la volée, ou alors je ne sais pas bien le faire... En plus, il s'agit de deux copies de mon site, pas d'un.

J'ai signalé ça à Google et je me demande s'il n'y a pas moyen de le signaler à Bing et Yahoo également. Quelqu'un saurait comment faire ?

D'autre part, comme le propriétaire d'un des deux noms de domaines est en France, quelqu'un sait-t-il si je peux porter plainte à la police et, si oui, comment ? Pour info, mon nom de site est une marque déposée.

Pour les curieux qui voudraient voir ces incroyables copies, mon site est maxibonsplans(point) info et les plagieurs sont sur knowmarketing(point)net et knowmarketing(point)shopbyvalue(point)com

Toute info serait la bienvenue.

Amicalement,
Amar

MikeR · 15 Juin 2015

Ce qui est très surprenant, c'est que les pubs adsense sur ses pages sont bien les tiennnes (il y a ton code client et annonce).

zeb · 15 Juin 2015

Faut voir si c'est de la copie a la volée en modifiant une page afin de voir si le changement se fait sur l'autre site immédiatement. Si oui faut cloaker direct avec du P0rn ou un truc illégal ça va le calmer.

Leonick · 15 Juin 2015

sauf que vu ce qui est marqué au dessus, que les pubs adsense sont bien les siennes, il risque de se faire griller son compte adsense, en procédant de cette façon.
auparavant il faut donc interdire l'affichage de ses adsenses sur tous sites sauf le(s) sien(s)

zeb · 15 Juin 2015

Leonick a dit:
sauf que vu ce qui est marqué au dessus, que les pubs adsense sont bien les siennes, il risque de se faire griller son compte adsense, en procédant de cette façon.

Cloacker sous entend ne pas envoyer le même contenu entre autre la publicité ...

Amar Guerfi · 15 Juin 2015

Merci à tous pour vos réponses concernant mon cas.

J'ai interdit les pubs adsense sur les noms de domaine que je ne gère pas, elles apparaissent mais ne sont pas facturées (ça aussi faudra m'expliquer)

Pour le reste, je ne sais pas quoi faire, que signifie cloacker et comment le faire ?

Il semble que le mec utilise un script qui copie à la volée tout le site, puisque toutes les modifications apparaissent instantanément sur ses URL.Le script remplace d'ailleurs partiellement le nom de mon blog à certains endroits de la page.

J'ai demandé à Google de ne pas référencer ces contenus duipliqués et je suis en train de le faire pour Bing et Yahoo.

Je ne comprends pas bien l'intérêt de cette démarche, à part faire chier le monde. De plus, le Whois donne le nom et les coordonnées du type, un français, qui bien sûr ne répond pas à mes appels ni à mes e-mails. Comme de plus le nom de mon blog est une marque déposée, je suis en train de déposer plainte.

Que feriez-vous ?

Amicalement,
Amar

zeb · 15 Juin 2015

Amar Guerfi a dit:
Je ne comprends pas bien l'intérêt de cette démarche, à part faire chier le monde.

C'est pas nouveau que nuire a son voisin est l'activité la plus pratiquée au monde.

http://fr.wikipedia.org/wiki/Cloaking

Amar Guerfi · 15 Juin 2015

Merci Zeb pour cette page sur le cloaking, mais je vois pas bien comment je peux utiliser l'info qui s'y trouve pour me défendre.

MFA · 15 Juin 2015

Salut meme probleme pour moi, je n'ai pas bien compris tes demarches, peux expliquer en details tout ce que tu as entrepri pour lutter , merci

Amar Guerfi · 15 Juin 2015

zeb a dit:
Cloacker sous entend ne pas envoyer le même contenu entre autre la publicité ...

Oui, je ne demande pas mieux, mais comment fais-tu, parce que sincèrement je ne trouve pas.

MFA · 15 Juin 2015

Amar Guerfi a dit:
....

J'ai demandé à Google de ne pas référencer ces contenus duipliqués et je suis en train de le faire pour Bing et Yahoo.

...

peux tu me dire commment faire ?

Amar Guerfi · 15 Juin 2015

Pour la liste des moteurs, j'ai posté ça ici aujourd'hui : https://www.webrankinfo.com/forum/suppression-contenu-portant-atteinte-aux- ... 66141.html

zeb · 16 Juin 2015

Amar Guerfi a dit:
mais comment fais-tu, parce que sincèrement je ne trouve pas.

Bah au minimum faut savoir comment est fait ton site et coder sinon tu n'arrivera a rien c'est pas du légo avec plugin (quoi que en fouillant bien

Le truc est de disposer une condition qui dit que si c'est l'ip du malandrin qui demande la page on se branche sur un code différent qui fabrique une page différente.

ybet · 16 Juin 2015

Merci pour le remerciement de Loren mais c'est un peu lourd puisqu'il analyse toutes les copies et toute une partie de parasites.

Pour tous ces copieurs (j'ai pas le cas de ces copies automatiques mais ca devrait fonctionner aussi), j'ai installé sur quelques sites un truc un peu spécial en tout début de contenu. C'est du php et mes pages sont majoritairement en html au départ (pas de CMS, toutes les pages sont individuelles). Il faudra l'adapter mais:

Code:

<?php
 $adresse_reel="/hvd.php";
 // echo $adresse."<br>";
 $page=$_SERVER['REQUEST_URI'];
 if ($page<>$adresse_reel)
 {
 // on interdit l'accès
  header("HTTP/1.1 403 Forbidden");
  include ('ip.php');
   exit();
 }

En premier, je met sur la page l'adresse effective. dans ce cas /hcd.php.
avec $_SERVER['REQUEST_URL'], je récupère l'adresse de la page effectivement utilisée. Si ce n'est pas la bonne -> erreur 403. Cette solution bloque toutes les tentatives de paramêtres dans l'adresse (genre hvd.php /g mais aussi toute tentative d'injection SQL)
Je pense que vous avez compris que ip est le script de détection des copieurs et autres brols .... pour éradication.
On va juste un peu améliorer le système.

Code:

<?php
 $adresse_reel="https://www.webrankinfo.com/hvd.php";
 // echo $adresse."<br>";
 $page=$_SERVER["HTTP_HOST"].$_SERVER['REQUEST_URI'];
 if ($page<>$adresse_reel)
 {
   // on interdit l'accès
  header("HTTP/1.1 403 Forbidden");
   exit();
 }

Faudra essayer et l'adapter pour chaque CMS mais c'est normalement imparable pour le vol de contenu à la volée. Dans ces 2 cas, le copieur récupère d'abord le contenu pour le modifier mais ca semble très rapide donc pas un truc genre le site avec un espèce d'include PHP sauf avec un traitement à fait qui modifie le nom de domaine. Ce que je pense ....

Il y a toute façon trois solutions pour le bricoleur:
1. récupérer la page régulièrement (le bloquer et la page copiée ne bouge plus) mais elle est toujours sur le site
2. une espèce de récupération du contenu via un include ... ce petit programme devrait en bloquer une partie
3. le coup du frame et là c'est en javascript .... ou htaccess.

Si c'est effectivement une récupération à la volée avec une modif dans le code du site de départ, on peut être plus vicieux en modifiant le code ci-dessus (on part du principe que le programme remplace uniquement l'adresse genre
if (STRTOLOWER("contenu"),"site_depart"
{
$contenu="http://www. site n'importe quoi";
}
Ca donnerait un truc du genre ...

Code:

[code]<?php
 $adresse_reel="https://www.webrankinfo.com/hvd.php";
 // echo $adresse."<br>";
 $page=$_SERVER["HTTP_HOST"].$_SERVER['REQUEST_URI'];
 if ($page<>$adresse_reel)
 {
   // on interdit l'accès
  // header("HTTP/1.1 403 Forbidden");
if (STRTOLOWER("contenu"),"site_depart"
{
 $contenu="http://www. site n'importe quoi";
 }
   exit();
 }

A tout les coups, le site copieur va se retrouver avec des liens faux sauf s'il travaille en relatif et supprime simplement les noms de domaines

. Contenu doit être remplacé par le contenu de la base de donnée (table) "contenu" et navigations.

Amar Guerfi · 17 Juin 2015

Hello,

Merci Ybet pour ce partage.

Je suis sous Wordpress, avec plus de 1200 articles et pages et je ne vois pas comment je pourrais les vérifier toutes une par une. J'ai essayé en parallèle un tas de trucs qui n'ont pas marché, depuis le blocage de l'IP des serveurs des sites du pirate dans le .htaccess, jusqu'à des tests en PHP sur le HTTP_REFERER, le HTTP_HOST' et le SERVER_NAME. Rien n'y fait.

La technique utilisée doit-être un mélange d'iframe avec un script qui remplace grossièrement mon url et les occurrences du nom de mon site dans les pages. Je ne vois pas ce que ça peut-être d'autre. J'ai pensé aussi au DNS spoofing... C'est quand même bien la galère pour l'instant.

Cordialement,
Amar

zeb · 17 Juin 2015

Il y a pas à tortiller du C*l pour chi*r droit si le gars change son site en live quand tu modifie une page c'est qu'il consulte ta page avant de l'afficher. Bref observe tes logs et tu saura qui fait quoi et comment.
Il est possible de changer d'ip a chaque coup mais je doute que le gars en sois là pour une connerie.

MFA · 17 Juin 2015

A mon avis, il aspire le code HTML uniquement à la fin de chrgement de la page, donc generé après le php, donc le php n'a aucun effet...

J'avais fais un script javascript qui renvoyais sur une page vide au cas ou le nom de domaine etait different du mien, mais il remplace la balise <script> par <div> ce qui empeche mon script de fonctionner...

Je ne sais plus quoi faire, mon site n'apparait plus sur google... aurait il prit un malus ? ou c'est juste à cause des copies que le mien ne s'affiche plus dans les recherches ?

j'ai aussi bloqué les IP et Nom de domaine dans htacess

Merci à tous ceux qui ont des idees ?

ybet · 17 Juin 2015

MFA a dit:
A mon avis, il aspire le code HTML uniquement à la fin de chrgement de la page, donc generé après le php, donc le php n'a aucun effet...

impossible. Pour le visiteur (humain ou robot), c'est toujours de l'html qui est affiché: le php est décodé coté serveur, avant l'affichage de la page contrairement au javascript. Dans ce deuxième cas, il lui est possible de récupérer la page java désactivé et de le rebalancer ensuite à son visiteur.

D'aillieurs dans les CMS, c'est php (éventuellement ASP) qui récupère le contenu de la base de donnée pour l'afficher sur le site: pas de php -> pas de contenu.

Amar Guerfi a dit:
Je suis sous Wordpress, avec plus de 1200 articles et pages et je ne vois pas comment je pourrais les vérifier toutes une par une.

On ne vérifie pas une à une mais en récupérant l'adresse effective via la table de la base de donnée en début de codage de la page.

zeb a dit:
si le gars change son site en live quand tu modifie une page c'est qu'il consulte ta page avant de l'afficher. Bref observe tes logs

MFA · 17 Juin 2015

ybet a dit:
MFA a dit:

A mon avis, il aspire le code HTML uniquement à la fin de chargement de la page, donc generé après le php, donc le php n'a aucun effet...

impossible. Pour le visiteur (humain ou robot), c'est toujours de l'html qui est affiché: le php est décodé coté serveur, avant l'affichage de la page contrairement au javascript. Dans ce deuxième cas, il lui est possible de récupérer la page java désactivé et de le rebalancer ensuite à son visiteur.

Cliquez pour agrandir...

Non, la page est chargé sur mon serveur, puis il aspire le HTML uniquement et retravaille le code html en remplacant les liens interne par des liens interne a lui et les balises <script>, c'est possible je sais le faire ... c'est pas java desactivé, je vois dans sont html qu'il a juste modifié le mien

Amar Guerfi · 17 Juin 2015

Hello à toutes et tous,

Tout d'abord merci à Zeb qui avec ses mots bien à lui m'a mis sur la voie toute simple des logs.

Le pirate utilisait une autre adresse IP que celle que j'avais récupérée depuis son NDD, raison pour laquelle aucune de mes parades ne fonctionnait. Un petit coup de .htaccess et voilà le problème réglé pour l'instant.

Je vais vérifier ça au quotidien, et si le mec récidive, c'est la plainte en justice pure et simple.

Bonne chance à toutes et tous avec vos sites,
Amar

MFA · 17 Juin 2015

Peux tu expliquer en details comment identifr cette ip ?
c'est dans les logs apache ?
merci

zeb · 17 Juin 2015

Amar Guerfi a dit:
Zeb qui avec ses mots bien à lui

J'aime bien les images c'est parlant

Amar Guerfi · 17 Juin 2015

Hello MFA,

1. Je suis allé tout d'abord sur le site du pirate et j'ai utilisé le formulaire pour une recherche XYZ que je pourrais trouver facilement dans mes logs par la suite.
2. Je suis allé sur le cPanel de mon site > Journaux/Registres > Registre d'accès brut et j'ai téléchargé les logs. J'ai fait une recherche sur XYZ pour voir qui accédait à cette page et j'ai trouvé l'IP du malfaisant.

Ensuite, j'ai utilisé ça dans mon .htaccess :

Code:

<IfModule mod_rewrite.c>
RewriteEngine On
# Enlever le commentaire ci-desous si ça ne marche pas :
# Options +FollowSymlinks
RewriteCond %{REMOTE_HOST} IP.DU.GROS.MALIN [NC]
# Redirection vers une image :
RewriteRule .* http://img1.imagilive.com/0615/depot-de-plainte-contrefacon.jpg [R=301,L]
</IfModule>

Bonne chance à toi,
Amar

ybet · 17 Juin 2015

MFA a dit:
c'est dans les logs apache ?

forcément :wink:

zeb · 17 Juin 2015

Code:

RewriteRule .* http://img1.imagilive.com/0615/depot-de-plainte-contrefacon.jpg [R=301,L]

Tu est cool avec lui, perso j'ai tendance a être un poil plus agressif

tu pouvais aussi l'envoyer sur un script php a toi qui contiens n'importe quoi y compris des virus par exemple histoire de le faire blacklister.

Amar Guerfi · 17 Juin 2015

Cool, je sais pas, le webmaster est en France et si tu trouves qu'une plainte devant le procureur de la république c'est plus cool que des virus....

MFA · 17 Juin 2015

je ne vois rien de suspect dans mes logs, comment le reperer ?

Amar Guerfi · 17 Juin 2015

Je ne sais pas, visite une page sur son site que tu es sûr de retrouver dans tes logs, même si elle n'existe pas, par exemple sonsite.ext/azerty/ et essaye de la retrouver dans tes logs, c'est ce que j'ai fait, mais avec une recherche. Peut-être aussi que ton cas est différent du mien.