Google et la (fausse) détection de code malveillant

Discussion dans 'Administration d'un site Web' créé par Dertron, 24 Novembre 2011.

  1. Dertron
    Dertron Nouveau WRInaute
    Inscrit:
    11 Décembre 2002
    Messages:
    34
    J'aime reçus:
    0
    Salut,

    J'aimerais savoir si vous avez déjà entendu parler d'un cas similaires... Mardi, Google a trouvé un "code malveillant" sur notre site internet biosense.fr. D'où blocage de notre compte AdWords, et surtout renvoi de l'information aux navigateurs Firefox et Chrome qui affichaient systématiquement un message d'avertissement (site dangereux pour votre PC, n'y allez pas). Normal en soi. Sauf qu'à posteriori, notre site internet n'avait rien...
    Explications. Direction les outils pour webmaster pour voir d'où vient le problème : il s'agirait d'un javascript "malicieux" repéré sur toutes nos pages. Sauf que en regardant de près, impossible de trouver le moindre problème sur notre site internet.

    Voici ce que j'ai fait :
    - vérification de tous les fichiers sources du serveur servant à afficher les pages (html, php, js, css...) : aucun code malveillant trouvé (iframes, script, etc.)
    - aucun fichiers modifiés sur notre serveur sur la période d'infection (avec la commande find)
    - aucune connexion (ftp ou ssh) sur notre serveur dédié non authentifiée
    - aucune trace suspecte sur les fichiers log (apache, ssh, ftp, ssl, suphp...)
    - vérification DNS du domaine biosense.fr avec des outils comme http://www.dnscolos.com : biosense.fr pointe bien vers notre serveur dédié.

    Nous avons par ailleurs testé notre site avec différents outils de détection : aucun n'a trouvé de problème sur notre site, hormis l'avertissement du blacklistage par Google.
    Voici les outils utilisé :
    - McAfee site advisor
    - Unmask Parasites http://www.unmaskparasites.com/
    - http://sitecheck.sucuri.net/scanner/
    - http://soswebscan.com
    - ...

    La seule explication au problème rencontré serait une erreur sur les DNS (en consultant biosense.fr, Google aurait été redirigé vers un autre serveur). Mais les DNS du domaine biosense.fr sont gérées par la société OVH qui n'a décelé aucun problème.

    Donc après toutes ses vérifications, j'ai finalement demandé l'examen par Google pour supprimer le blacklistage, en croisant les doigts car je n'avais rien corrigé (n'ayant rien trouvé...) Google nous a renvoyé un mail 8 heures plus tard pour nous dire que tout était rentré dans l'ordre. En attendant, notre site s'est retrouvé coupé du monde pendant presque 2 jours : adwords bloqué, référencement naturel bloqué, et surtout consultation bloquée.

    Le problème soulevé, c'est que Firefox utilise les données Google pour déterminer si un site est dangereux. Et fait donc confiance à une société commerciale pour une information purement technique. Hier, Google avait le pouvoir de supprimer 90% du trafic d'un site en le faisant disparaître de sa base. Aujourd'hui, Google va plus loin en ayant le pouvoir d'empêcher que l'on consulte un site. On pourrait imaginer qu'un jour les banques demanderont à Google son avis pour accepter le paiement d'un client :roll: De plus en plus fort...

    :?: Qu'en pensez-vous, avez vous des exemples similaires de fausses détection de code malveillant par Google ?

    PS : on ne sait jamais, il y a peut-être vraiment un code malveillant sur mon site, mais en tout cas Google ne le retrouve plus et tant mieux ! :)
     
  2. WebRankInfo
    WebRankInfo Admin
    Membre du personnel
    Inscrit:
    19 Avril 2002
    Messages:
    18 475
    J'aime reçus:
    201
  3. Dertron
    Dertron Nouveau WRInaute
    Inscrit:
    11 Décembre 2002
    Messages:
    34
    J'aime reçus:
    0
    Non, en fait il me semble que stopbadware.org contient seulement des ressources sur les badwares. Ils s'appuient sur Google Safe Browsing pour déterminer si un site est infecté. Et ils indiquent qu'une fois que ton site est désinfecté (!), il faut le soumettre à Google via Outils pour Webmasters. cf http://www.stopbadware.org/home/reviewinfo
    D'ailleurs, je viens de me rendre compte que l'outil qui permet de tester si un site contient un badware contient l'historique des problèmes rencontrés.
    https://www.google.com/safebrowsing/diagnostic?site=exemple.com (remplacer exemple.com par votre site)
    Donc si mon problème n'en était pas un, ça restera écrit. Un peu comme un casier pas vierge pour quelqu'un qui n'a jamais rien fait de mal !
     
  4. UsagiYojimbo
    UsagiYojimbo WRInaute accro
    Inscrit:
    23 Novembre 2005
    Messages:
    11 997
    J'aime reçus:
    66
  5. Dertron
    Dertron Nouveau WRInaute
    Inscrit:
    11 Décembre 2002
    Messages:
    34
    J'aime reçus:
    0
    En fait, les data utilisées par stopbadware proviennent de google, GFI et NSFOCUS (http://www.stopbadware.org/partners). Mais Firefox par exemple prend les infos seulement auprès de google, sans passer par stopbadware.
     
  6. Dertron
    Dertron Nouveau WRInaute
    Inscrit:
    11 Décembre 2002
    Messages:
    34
    J'aime reçus:
    0
    Salut UsagiYojimbo, en fait, je n'ai plus de problème personnellement, vu que Google a bien pris en compte ma demande et a réactivé mon site. Donc pas besoin que je le soumette à nouveau. Mon interrogation est qu'est-ce qui s'est passé, pourquoi, et est-ce que ça va recommencer ! Surtout que mon site n'était (à priori) pas infecté... Et est-ce que ça va vous arriver !!! :?
     
  7. bee_human
    bee_human WRInaute passionné
    Inscrit:
    16 Juin 2005
    Messages:
    1 819
    J'aime reçus:
    0
    Visiblement, il garde un horizon de 90 jours. Je suis dedans après un hack au 10 novembre. Je regarderai en février si je disparais.
     
  8. Dertron
    Dertron Nouveau WRInaute
    Inscrit:
    11 Décembre 2002
    Messages:
    34
    J'aime reçus:
    0
    Pour ton site, il y avait vraiment eu hack ?
     
  9. bee_human
    bee_human WRInaute passionné
    Inscrit:
    16 Juin 2005
    Messages:
    1 819
    J'aime reçus:
    0
    Oui, faille Zenphoto.
     
  10. Dertron
    Dertron Nouveau WRInaute
    Inscrit:
    11 Décembre 2002
    Messages:
    34
    J'aime reçus:
    0
    Et voilà que ça recommence :cry: ...
    Nouveau blacklistage par Google pour code malveillant, le 22 décembre vers minuit. Même topo que fin novembre, je n'ai rien trouvé de louche sur le serveur, et pas de problème pour consulter le site (hormis le message sur Firefox qui s'appuie sur Google), et rien dans le code source de la page affichée. Rebelotte avec Adwords, blocage des campagnes publicitaires. Même solution que la dernière fois, j'ai rempli les formulaires Google pour prévenir que "tout était rentré dans l'ordre". Même si je n'avais rien fait... Et même réponse de Google : "plus de malware détectés" => le compte est réactivé, donc plus de message sur Firefox et pubs Adwords qui apparaissent à nouveau.

    Une fois de plus, quelques jours de perdus pour rien. Je suis toujours le seul à qui cette mésaventure arrive ? :?
     
  11. Dertron
    Dertron Nouveau WRInaute
    Inscrit:
    11 Décembre 2002
    Messages:
    34
    J'aime reçus:
    0
    Pour info, je suis à nouveau blacklisté par Google depuis 16h00. Si je vais sur mon site w w w . b i o s e n s e . f r et que je regarde le code source, je ne vois rien de louche. Et vous ?
     
  12. UsagiYojimbo
    UsagiYojimbo WRInaute accro
    Inscrit:
    23 Novembre 2005
    Messages:
    11 997
    J'aime reçus:
    66
    Quand j'accède au site, je suis redirigé sur une page maintenance.html. Normal ? As-tu testé de modifier ton user-agent et de choisir celui de Google pour voir ce qui s'affiche (via le plugin user agent switcher par exemple) ?
     
  13. Wainithy
    Wainithy Nouveau WRInaute
    Inscrit:
    28 Janvier 2012
    Messages:
    6
    J'aime reçus:
    0
    Hélas non, j'ai le même souci sur un site. j'ai chopé le malware à cause d'une faille de sécurité de ZenPhoto et depuis un mois le site est blacklisté par Google.
    Comme toi, j'ai remis le site en uploadant une version propre, écransant ainsi les .htaccess.
    J'ai viré aussi ZenPhoto et tous les liens s'y rattachant, pour passer sur un script Piwigo.
    Comme toi, j'ai fait appel aux outils de diagnostic Google qui n'ont plus rien trouvé de malveillant sur le site.
    J'ai fait trois demande d'examen, celles-ci sont revenue négative. Le site est donc propre mais je suis toujours blacklisté par les moteurs de recherche !!!
    Je ne sais plus quoi faire, help me please ...

    Site en question : www.guillaumeclouet.fr
     
  14. UsagiYojimbo
    UsagiYojimbo WRInaute accro
    Inscrit:
    23 Novembre 2005
    Messages:
    11 997
    J'aime reçus:
    66
    Je pense que tu as un problème sur ton site, parce qu'il est de toute façon impossible d'y accéder sur Firefox.
     
  15. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 321
    J'aime reçus:
    1
    Chez moi ça passe.
    Qu'est ce qui te faire dire ça ? perso je ne voie rien qui puisse laisser suposer que tu soit en blackliste.
    Si en revanche tu constate un trafic faible et que c'est ce qui te fait penser que tu as un souci il peut très bien s'expliquer autrement.
    Il faudrait plus de détails.
     
  16. Wainithy
    Wainithy Nouveau WRInaute
    Inscrit:
    28 Janvier 2012
    Messages:
    6
    J'aime reçus:
    0
    Merci pour vos réponses.

    Le site passe effectivement en lien direct dans le navigateur, mais lorsqu'on utilise un moteur de recherche pour y accéder, tel que Google, le site est bloqué et ce malgré l'examen Google qui ne révèle plus aucun logiciel malveillant sur le site !
    Il faut alors vider le cache du navigateur afin de pouvoir accéder de nouveau au site en lien direct.
    Le rapport de Google mentionne ceci :
    "Ce site n'est actuellement pas répertorié comme suspect."
    "Ce site n'a hébergé aucun logiciel malveillant au cours des 90 derniers jours."

    @Zeb : Je pense que le site est propre car j'ai passé en revue tous mes scripts, viré ZenPhoto à l'origine de la faille de sécurité, viré tous les liens s'y rapportant. Que puis-je te fournir comme autres détails ? Merci pour ton aide.
     
  17. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 321
    J'aime reçus:
    1
    je viens en effet de constater l'avertissement firefox (c'est de plus en plus souvent cette saleté) et je tombe sur un site russe ("www.answer-float.ru").
    ça ressemble a une redirection htaccess note la date et heure du fichier htaccess pour voir si il a pas été modifié dans ton dos.

    Est tu chez OVH ? (j'ai pas vérifié)
     
  18. Wainithy
    Wainithy Nouveau WRInaute
    Inscrit:
    28 Janvier 2012
    Messages:
    6
    J'aime reçus:
    0
    Oui, ce site est hébergé chez OVH
     
  19. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 321
    J'aime reçus:
    1
    De plus en plus de cas signalés de ce genre chez OVH (bizarrement pas ailleurs) ce qui ne les implique pas forcement mais c'est quand même troublant.
     
  20. Wainithy
    Wainithy Nouveau WRInaute
    Inscrit:
    28 Janvier 2012
    Messages:
    6
    J'aime reçus:
    0
    J'ai regardé mon fichier .htaccess à la racine du site, rien a signaler. Je suis à l'origine de la dernière modification pour forcer OVH en PHP 5 (SetEnv PHP_VER 5_3). Sinon rien d'autre.
    Par contre, j'ai un autre fichier .htaccess en amont sur le serveur OVH (avec les fichiers .bash_logout, .bash_profile, .bashrc, .forward). Celui-ci, édité avec un éditeur de texte, semble vierge. Sa dernière modification date du 6 janvier, donc plus de 3 semaines. Je ne sais pas si je peux le supprimer.

    Ce qui me parait pas clair c'est que, après un examen du site par Google qui ne révèle aucun souci, le site devrait être débloqué sous 24h00 !!! Qu'en penses-tu ?
     
  21. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 321
    J'aime reçus:
    1
    Sincèrement je sais pas trop quoi penser du temps de déblocage "google" ni de la vague d'alertes qu'on voie passer de plus en plus ici depuis un a deux mois.
    Un wrinaute qui as eu des souci comme toi a fait débloquer 2/3 fois al situation chez GG avant de trouver la source du problème (logiciel open source pas a jour). Dans son cas de mémoire il me semble que cela se passait vite (genre une demie journée)
     
  22. Wainithy
    Wainithy Nouveau WRInaute
    Inscrit:
    28 Janvier 2012
    Messages:
    6
    J'aime reçus:
    0
    Un second fichier .htaccess placé au-dessus de www était lui aussi corrompu. Une redirection y était insérée vers le site russe en question.
    Ce fichier a été supprimé car il n'avait pas lieu d'être. Tout à l'air d'être rentré dans l'ordre.
    Cette faille de sécurité sur ZenPhoto a fait beaucoup de ravage sur le net. Du coup, un peu refroidi par le truc, j'ai tout viré, changé mes mots de passe et suis passé sur une galerie photo propulsé par un script Piwigo. Cela ne signifie pas qu'un tel problème ne peut se reproduire mais çà me rassure.

    Merci à vous tous pour disponibilité et votre aide.
     
  23. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 321
    J'aime reçus:
    1
    Note bien que tant que tu utilisera de l'open source pour motoriser tes applications tu risquera ce genre de souci.
    Un faille 0days pas encore révélée et exploitées sera toujours possible.
    Les mises a jours avec tout le tintoins qui va avec préservent mais ne garantissent rien, même pour les meilleures applications.
    Une dépersonnalisation (suppression des éléments répétitifs et facilement identifiables via moteur de recherche genre "powered by") n'est pas farfelue pour éviter de se retrouver en bonne place dans les SERP de bidouilleurs.
     
  24. Wainithy
    Wainithy Nouveau WRInaute
    Inscrit:
    28 Janvier 2012
    Messages:
    6
    J'aime reçus:
    0
    Merci Zeb,
    Je vais tâcher de garder cela à l'esprit ...
     
  25. francky62
    francky62 Nouveau WRInaute
    Inscrit:
    2 Janvier 2013
    Messages:
    1
    J'aime reçus:
    0
    Bonjour, j'ai aussi ce problème. Google m'a bloqué mes pages web. Je n'ai rien trouvé de suspect et après nouvel examen, il débloque les avertissements... Sauf qu'avec Firefox, ça reste bloqué et que je ne sais pas commet gérer le truc !!!!
    Fait assez bizarre, depuis cette récente mésaventure, je vois aussi fleurir des avertissements de pages malveillantes quand je surfe sur le net, alors que je n'avais jamais vu cela avant !?
    Je trouve effectivement cette dérive de Google très dictatoriale. Surtout qu'il semble que l'on puisse allez dénoncer des pages que l'on estime suspectes ?! Allez savoir dans quelle mesure tout cela est bien réel.
    Si le googlebot est capable de déceler des malwares sur des pages net, il pourrait tout aussi bien donner le détail au webmaster.
    Pourquoi ne peut-on accéder à cette info ?
    Sur ma page diagnostic, voilà ce qui était indiqué "Parmi les logiciels malveillants, les éléments suivants sont présents : 5 exploit(s)."
    Qu'est-ce que ça veut dire ? Rien.
     
  26. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 321
    J'aime reçus:
    1
    Simplement car c'est pas google qui gère la détection mais un prestataire tiers il me semble.
     
  27. crughon
    crughon WRInaute discret
    Inscrit:
    24 Juillet 2005
    Messages:
    178
    J'aime reçus:
    0
    Perso je ne trouve pas de problème sur ton site...

    Je suis arrivé sur cette page de WRI, parce que je viens de me taper un avertissement pour logiciel malveillant par GG. Evidemment la page incriminée est nickel... affaire à suivre.
     
  28. Marie-Aude
    Marie-Aude WRInaute accro
    Inscrit:
    5 Juin 2006
    Messages:
    16 612
    J'aime reçus:
    2
    Je te signale que tu réponds à un message de février 2012... heureusement que les problèmes ont été réglés entretemps pour son site :D
     
  29. crughon
    crughon WRInaute discret
    Inscrit:
    24 Juillet 2005
    Messages:
    178
    J'aime reçus:
    0
    C'est vrai que cela date... Etant concerné aujourd'hui par ce sujet, je me suis laissé aller à vérifier son lien... et comme d'autres ont signalé un problème cyclique (un jour ça remarche, un autre jour ça ne marche plus), j'ai vérifié pour voir si le site existait toujours. Parce qu'à bien considérer le problème, une alerte même brève, suffit à jeter le doute parmi les internautes, qui pensent que le site est dangereux. On a vu des sites fermer pour moins que ça. J'avoue que signaler un site comme suspect et trois jours après (à la demande du propriétaire) dire que finalement tout va bien, je pense qu'il y a là une légèreté qui peut avoir des conséquences graves sur de nombreux business.

    Le sujet me tient à coeur puisse que je viens de recevoir un avertissement Google. Je n'ai pas trouvé de script malveillant, et je me demande s'il ne s'agit pas d'une alerte que je qualifierais d'indirecte. Je fais un lien vers un site prétendu douteux, faisant lui-meme un lien vers un site douteux, donc je deviens douteux. Ainsi mieux que le virus lui-meme, la rumeur, et la suspicion se propage... et là, je trouve ça aussi dangereux que le mal supposé... Mais bon, j'aurai l'occasion je pense d'en reparler.

    Forum en tout cas intéressant et instructif. :wink:
     
Chargement...
Similar Threads - Google (fausse) détection Forum Date
Autre question a google Le café de WebRankInfo Hier à 22:07
google le plus mauvais client Le café de WebRankInfo Hier à 22:02
des 302 puis des 301, comment Google va réagir ? Débuter en référencement Mercredi à 09:23
Posez votre question Signaler Dupliquer dossier en conservant lien de google sheet à google doc Référencement Google Mardi à 09:00
Pas visible sur Qwant et dans les choux sur Google... Débuter en référencement Lundi à 10:59
Affichage sur Google avec notations utilisateurs (étoiles) Débuter en référencement 9 Février 2019
Résultat de recherche google sans méta-description en fonction de la requête Problèmes de référencement spécifiques à vos sites 8 Février 2019
Le User-Agent google-speakr de Google Home et l'Assistant vocal Crawl et indexation Google, sitemaps 7 Février 2019
Événements à venir et google agenda Débuter en référencement 7 Février 2019
Think With Google ou PageSpeed insight ? Google : l'entreprise, les sites web, les services 7 Février 2019
  1. Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
    Rejeter la notice