Piratage des pages web pour référencement

[Thierry A]

Bonjour,

les pages d'un des sites web que je gère ont été modifiées par un pirate qui y a mis dans le code :

<style>#id1 {display:none;}</style>
<fonf id="id1">
<a href="">toto</a>
....
</font>

Je n'ai pu constaté ce piratage que dans les pages en cache de GG et Bing - du 21 au 27 février - mais pas sur le site car le code est propre - aujourd'hui 1er mars.
J'ai du code javascript GG Analytics dans les pages. Le hacker a-t-il pu se servir de ce code ? L'ensemble des url pirates est-il écrit dynamiquement ?
Le site va-t-il en subir des conséquences ?
Comment le pirate a-t-il fait ?

Merci de vos éclaircissements.

 

[loran750]

Hello

Peut être tu es victime de faille XSS, qui permet d'inclure ce qu'on veut dans des pages* (dans ton cas), ou de pénétrer ton site pour y déposer du code exécuté**.

lolo

* exemple : www.domaine.com/afficherNom.php?nom=Lolo ---> le pirate remplace Lolo par du code HTML.
** peut être un fichier .js ou autre a été déposé... fais une recherche (grep -R toto *) dans le répertoire de ton site web ... voire même sur tout ton compte.

 

[Thierry A]

Le hacker utilise une faille dans un javascript d'un logiciel de tracking que j'ai finalement désinstallé (que j'avais partiellement installé car il ne fonctionnait pas et je n'avais pas vu un bout de code rajouté sur l'ensemble des fichiers du site).

La méthode du hacker consiste à appeler des url de la sorte :

<a href="http://blog.toto.org/dotclear/?bdoc=kevin+pearce">Kevin Pearce Crash</a>

Mon site n'est pas fait avec dotclear, c'est un exemple de ce que j'ai trouvé dans les pages en cache ds GG.
C'est sur ça fait augmenter la popularité des mots clés "Kevin Pearce Crash" mais les URL ne se rapportant pas au sujet quel intérêt ?
J'ai plus qu'à attendre le passage des robots pour remettre au propre les pages en cache.

 

[Thierry A]

Suite à ce piratage, le site a été déférencé pour certaines pages (qui étaient en 1ère, 2eme ou 3eme position sur certaines requetes) car il y a plus de 100 000 liens créés dans Google pour renvoyer sur le site...

Y a t il un formulaire Google pour évoquer le sujet ?

 

[Thierry A]

J'ai trouvé le formulaire pour demander le réexamen du site par Google.

Existe-t-il une procédure judiciaire pour qu'une enquête soit menée ? Je suis pas sur que ce soit simple de remonter au pirate mais comme j'ai des doutes sur l'origine du piratage...

Quelqu'un a t il eu ce genre d'expérience de piratage économique ?

 

[amph37]

Faut porter plainte, pas le choix je pense. Contacte ton hébergeur pour avoir les logs de connection et aussi estimer ton préjudice financier me semble important.

 

[Thierry A]

Ca y est c'est en cours. Je dois monter un dossier et j'ai eu un Lieutenant précis qui va s'occuper de l'affaire.
Enfin, la constatation, c'est qu'un hacker peut simuler une activité condamnable par Google et te faire sanctionner. Dur dur !

Voici un lien intéressant : http://www.arobase.org/arnaques/porter-plainte.htm

 

[Thierry A]

Ouf ça y est retour dans l'index Google !
Est-ce la plainte et un coup de fil à la Police ou la réactivité de Google qui a vu le piratage de plus de 1200 sites (en tout cas ceux qui avaient au moins une url nous concernant !) ?
Le hacker avait utilisé une faille 10 jours avant qu'un correctif ne soit publié et installé. Nous avions été réactifs sur l'alerte de la faille mais pas fait gaffe que nous étions déjà infectés.
Ca va servir de leçon !
En tout cas c'est dingue le temps et le nombre de visites perdus pour ce genre de fraudes !

 

[loran750]

Pour Google, c'est un traitement automatique. De toute manière, ce qui est important, c'est que ton cas ait été pris en charge par les outils de Google, traité & validé.
Bon point

 

[mipc]

c'est vraiment gonflant se genre de pratique ça fait peur. 8O

perso j'ai le fort soupçon d'avoir été hacker par un robot sur mon site et à plusieurs reprise, déjà rien qu'aujourd'hui j'ai eut l'impression que s'était le cas, le symptôme est amusant; pas de stat GA alors que ça ne m'arrive jamais(même pas un retard), mais le vrais soupçon c'est que le site mets du temps à se charger et surtout lorsque je vais sur le site j'ai 1 erreur firebug toujours la même sur un fichier http://195.20.239.29/t.js , j'ai beau faire F5 toujours la même erreur au même endroit du fichier js, n'y une ni deux je remet le fichier Js sur le serveur, je recharger firebug et là plus d'erreur RAS.

j'en profits pour faire de même sur tous mes fichiers, je les remets sur le serveur notamment:
Robot.txt
.htaccess
tous les fichier PHP.
les principaux fichiers HTML et CSS.

en suite comme la première fois je change mes mots de passe, par contre cet fois ci j'ai pris la décision de ne plus passer par le protocole FTP ou les mots de passe passe en claire il semblerait, mais par SSH d'ailleurs il est heureux que Filezilla supporte le protocole SSH, ça m'aurait fait chier de devoir changer de client.

en fait pour bien faire les choses faudrait prendre l'habitude de changer les MDP toutes les semaines, m'enfin bref plus facile à dire qu'a faire!!!

du reste pour le moment plus d'erreur firebug et le site se charge à vitesse normal depuis d'autres ordinateur et autre PDAphone depuis WAP SFR.