Question comportement Google et autres moteurs

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par gnidhal, 13 Mars 2013.

  1. gnidhal
    gnidhal Nouveau WRInaute
    Inscrit:
    13 Juillet 2008
    Messages:
    4
    J'aime reçus:
    0
    Bonjour à tous,
    Voici le problème rencontré :
    1 site est accessible parfaitement depuis son URL -http://www.dervy-medicis.com ou encore -http://dervy-medicis.com
    Mais quand on fait la recherche dans Google avec les mots "dervy medicis" les liens sensés pointer vers le site (ils semblent corrects au survol) sont interceptés et routés vers une page de hack qui varie selon le lien de départ mais aboutie à un clone de page google sur jetpassion76.com
    Le problème est constaté sur FF, IE... mais pas sur Safari ou Chrome

    Complément d'info, FF déclare déjà le site jetpassion76.com comme falsifié mais cela ne résout pas le problème qui semble se passer chez Google ou du coté du dns.
    Je suis en Bretagne et j'ai tenté l'accès avec les DNS de mon FAI ou les DNS de Google => idem
    J'ai contacté 2 collaborateurs en France : 1 en RP, un autre dans les Alpes => même problème constaté, curiosité suscitée.
    Toutes les vérifications d'usage ont été faites coté DNS et serveur et Webmasters-tool ne donne aucune info particulière sur le phénomène. Le site est Clean (pas de piratage coté serveur, htacces correct pas de script indésirable...) la preuve l'accès direct par l'url dans le navigateur est ok.

    Avez-vous déjà rencontré un tel problème ?
    Connaissez-vous une solution ?
     
  2. JanoLapin
    JanoLapin WRInaute accro
    Inscrit:
    21 Septembre 2008
    Messages:
    4 250
    J'aime reçus:
    0
    Deux petite question:

    * tes collaborateurs et toi, vous utilisez le même point d'accès à internet? Les mêmes services de DNS?

    * t'as fait vider les caches, avant?
     
  3. Labroc
    Labroc WRInaute occasionnel
    Inscrit:
    13 Avril 2005
    Messages:
    250
    J'aime reçus:
    0
    Il faut vérifier à nouveau minutieusement qu'un fichier du style "index.php", "default.php" ou "home.php", n'a pas été collé dans les dossiers, contenant une commande de redirection vers jetpassion76.com. Puisqu'une partie du site a été hackée, une action a donc eu lieu sur un élément du site. La page index s'affichant sans problème, l'action n'a pas eu lieu à la racine du serveur.

    Il s'agit d'une image de capture de la page d'accueil de Google en anglais s'affichant depuis de cette url :
    -http://www.jetpassion76.com/libraries/pear/archive_tar/google.JPG
    Il faut donc aussi contacter l'administrateur du site jetpassion76.com, qui ne sait peut-être pas que son site est utilisé à de telles fins, afin qu'il supprime cette image.
     
  4. gnidhal
    gnidhal Nouveau WRInaute
    Inscrit:
    13 Juillet 2008
    Messages:
    4
    J'aime reçus:
    0
    Merci de vos réponses ,
    @JanoLapin
    1- non : ni même FAI, ni même DNS, et le second ne connaissait pas le site et a découvert le même problème que je cite ci-dessus sans savoir ce qu'il allait trouver. De plus sa machine est sous Linux.
    2- caches vidés plusieurs fois, DNS changés, test depuis 2 FAI ici avec des machines différentes et des navigateurs divers

    @Labroc : Bien sur, j'ai regardé partout coté serveur. Rien trouvé de suspect.
    Et si il y avait un script suspect sur le site :
    1/ l'accès par l'url directe ferait les mêmes redirections, or si tu vas en direct sur le site sans passer par un moteur de recherche, l'accès fonctionne sans problème
    2/ Google Chrome et Opera ne subissent pas la redirection,
    si le site était en cause, il me semble que l'accès direct ou les différents navigateurs auraient le même comportement.

    Mais je vais creuser de ce coté.
     
  5. studio-creations
    studio-creations WRInaute discret
    Inscrit:
    25 Janvier 2011
    Messages:
    165
    J'aime reçus:
    0
    Vérifie à nouveau ton .htaccess quand même, j'ai eu ce coup la il y a quelques années sur un site.
    En fait en descendant dans le fichier on ne voyait pas directement le code rajouté car il avait été placé sur la droite hors écran, je m'en suis rendu compte car la barre de défilement horizontal était apparue.
     
  6. studio-creations
    studio-creations WRInaute discret
    Inscrit:
    25 Janvier 2011
    Messages:
    165
    J'aime reçus:
    0
    Sinon de mon iPhone en passant par une recherche sur Chrome ou Safari j'arrive bien sur ton site sans souci.
     
  7. gnidhal
    gnidhal Nouveau WRInaute
    Inscrit:
    13 Juillet 2008
    Messages:
    4
    J'aime reçus:
    0
    Ok, c'est en effet un piratage de script bien mené.
    Je vais éplucher tout ça et reviendrai peut-être vous donner des infos si elles sont intéressantes.

    Pardon pour le bruit, mais le comportement d'une redirection 302 uniquement quand on vient d'un moteur (en venant de google ou de bing ça faisait pareil) est assez fin.
    Je pense à une faille de virtuemart car l'attaque semble avoir commencée par le dossier Images.
    Le .htaccess n'a pas été touché
     
  8. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 192
    J'aime reçus:
    1
    T'a trouvé il me semble mais j’allais te le dire beaucoup de redirection testent le referer avant d'agir ...
     
  9. gnidhal
    gnidhal Nouveau WRInaute
    Inscrit:
    13 Juillet 2008
    Messages:
    4
    J'aime reçus:
    0
    Merci zeb,
    en effet le code malicieux teste le referer et le user_agent.
    Mais le code trouvé a plusieurs variantes et une des redirections allait vers -http://tinyurl.com suivi d'un sous-dossier
    J'ai alerté le contact du site en espérant qu'il y ait encore quelqu'un au bout de la ligne
    Plusieurs backdoors avaient été posées dans plusieurs sous-dossiers et les fichiers infectés n'avaient apparemment pas été modifiés (même date que l'original dans le ftp)
    un grep de chaine "eval(base64" m'a parmi de trouver les fautifs.

    Demande complémentaire : j'ai trouvé dans les logs plusieurs IP qui ont activé les scripts malicieux sur 24H.
    Je n'ai pas bloqué ces IP sachant à quel point il est facile de contourner ce blocage par un proxy.
    Ma question est donc :
    que vaut-il mieux faire avec ces IP : les bloquer ou les ignorer?
    Accessoirement, Existe-t-il un serveur communautaire où les déclarer comme malfaisantes ?
     
  10. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 192
    J'aime reçus:
    1
    Bah les IP c'est "pisser dans un violon" dans la mesure ou ça peut venir d'un backdoor sur le PC de Mme Michu au fin fond de la Bretagne médiévale ...

    Le truc c'est de comprendre comment ils sont rentrés .. ET de faire des contrôles réguliers des scripts du site.
    Perso j'ai un utilitaire sur mon CMS qui fait une récursion sur les dossier de l'hébergement et qui stoque en base les hash md5 des fichiers dans une table. Un autre script me fait une différence entre la table référence (le scan après install du site) et ce que je viens de scanner. Ça me permet de détecter très vite les nouveau fichiers sur le serveur (dans beaucoup de cas c'est normal), mais surtout les changements sur les fichiers vitaux qui n'ont pas pour vocation de changer de signature.

    J'ai tjs pensé automatiser avec un CRON mais c'est pas encore fait auquel cas je pourrait même envoyer des alertes mails sur certains critères.
     
  11. Oron
    Oron Nouveau WRInaute
    Inscrit:
    1 Mars 2009
    Messages:
    7
    J'aime reçus:
    0
    Bonjour

    J'ai le même soucis quand je veux aller sur Gestan.fr via google je suis rediriger vers http://www.jetpassion76.com/libraries/pear/archive_tar/

    Là je viens de tester l'accès a gestan.fr j'ai ce message :
    Un problème technique fait que gestan.fr est actuellement indisponible.
    Nous faisons notre possible pour le rétablir aussi rapidement que possible.
    Pour télécharger Gestan, vous pouvez vous rendre à cette adresse.
    Nous vous prions de nous excuser de cette gène momentanée.

    et le forum de forum.gestan.fr je l'ai mais sans les css page blanche avec tous les liens en colonne !!
     
Chargement...
Similar Threads - comportement Google moteurs Forum Date
Comportement de google sur un site en 2020 Référencement Google 17 Janvier 2020
Comportement inconnu dans google images pour une redirection YouTube, Google Images et Google Maps 3 Septembre 2015
Statistiques "Google et le comportement des internautes" Référencement Google 27 Mai 2015
Comportement incompréhensible de Google, besoin d'explications Problèmes de référencement spécifiques à vos sites 25 Mars 2013
simuler sur un serveur de Dev le comportement du bot Google Crawl et indexation Google, sitemaps 10 Décembre 2012
Analyse comportementale d'une campagne emailing avec TrackReports et Google Analytics Google Analytics 20 Novembre 2011
Un bien étrange comportement de Google ... Crawl et indexation Google, sitemaps 14 Septembre 2011
Comportement étrange de Google Alerte Débuter en référencement 18 Mai 2011
Le comportement des internautes avec serps google map Débuter en référencement 16 Octobre 2010
Comportement différent de deux Googlebot ? Crawl et indexation Google, sitemaps 11 Février 2010
  1. Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
    Rejeter la notice