TRUC DE FOU ! GoogleBot bannit mes utilisateurs

Discussion dans 'Crawl et indexation Google, sitemaps' créé par raljx, 10 Mars 2009.

  1. raljx
    raljx WRInaute passionné
    Inscrit:
    10 Juillet 2006
    Messages:
    2 064
    J'aime reçus:
    0
    Salut a tous,

    Un post pour un truc de fou qui m'arrive depuis 1 semaine

    J'ai dans mon administration une fonction qui me permet de bannir des utilisateurs indélicats (et dieu sait qu'il y en a)
    Depuis environ 1 semaine, certains utilisateurs nous contactent sur notre support pour râler (et ils ont raison) car nous les avons bannis 8O

    Je me retourne vers ma modo elle me dit non, je n'ai pas banni cette personne ...

    Je cherche, je cherche... jusqu'à l'idée de créer un champ supplémentaire dans ma table des bannis contenant un REQUEST_URI et un REMOTE_ADDR pour essayer de choper le rigolo qui aurait pu avoir les access a mon admin

    Bingo ... 10mn après une nouvelle entrée dans la table avec cette IP : 66.249.71.55 --> crawl-66-249-71-55.googlebot.com 8O 8O 8O

    C'est fou ca ... comment il peut exécuter un fichier (suis en $_GET par contre) , le remplir avec un email valide, enfin qui m'appartient, et bannir mon utilisateur ????????????????

    La je suis preneur d'infos, sachant qu'en recherchant sur GG je n'ai pas de trace de ce fichier en indexation, ni meme du sous-domaine que j'utilise pour me connecter a mon admin. Ce qui est curieux egalement c'est qu'il contourne mon système de sessions (actuellement les sessions sont enregistrées dans une base mysql a part via un script php)
     
  2. agenceinternet
    agenceinternet WRInaute passionné
    Inscrit:
    28 Mars 2008
    Messages:
    1 135
    J'aime reçus:
    0
    Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

    ca c'est énorme...

    bientot google fera notre boulo et ferra office de modérateur sur les forum :lol:
     
  3. blman
    blman WRInaute accro
    Inscrit:
    5 Septembre 2003
    Messages:
    2 740
    J'aime reçus:
    1
    Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

    Tu n'affiche pas les mails sur ton site ?

    Parce qu'en GET, ggbot test tout un tas de mots clés qu'il y a sur ton site. Après comment il contourne tes sessions, là, je vois pas... Tu a surement un accès non protégé quelque part qu'il pourrait connaitre grâce à la toolbar installée sur le poste de tes modos (moi je chercherais de ce côté)

    Ca avait déjà été relevé sur le forum et dans l'actu WRI, mais voici encore une preuve que google test les formulaires en get : https://www.webrankinfo.com/forum/googlebot-fait-pleins-recherche-dans-mon- ... 07811.html
     
  4. 5_legs
    5_legs WRInaute passionné
    Inscrit:
    30 Avril 2006
    Messages:
    1 550
    J'aime reçus:
    0
    Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

    Là c'est quand même fort !
    J'espère que tu vas vite trouver comme il fait.

    Par contre en attendant tu peux peut-être tester si c'est google le virer (sur ce formulaire) ?
    Ou n'autoriser que ton ip et celle de ta modo.

    C'est quand même hallucinant là ...
     
  5. UsagiYojimbo
    UsagiYojimbo WRInaute accro
    Inscrit:
    23 Novembre 2005
    Messages:
    11 878
    J'aime reçus:
    73
    Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

    +1 avec blman. Je pensais exactement à ca : une partie non (ou mal) sécurisée de ton admin couplée avec un formulaire en $_GET.
     
  6. gusterman
    gusterman Nouveau WRInaute
    Inscrit:
    13 Novembre 2008
    Messages:
    39
    J'aime reçus:
    0
    Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

    En tout cas, si un bot arrive à exploiter cela, inquiète toi, imagine si un utilisateur mal intentionné s'amuse à faire la même chose :wink:

    Merci Google Bot pour dénicher les failles :lol:

    As-tu la google bar d'installé sur ton navigateur (ou l'un de tes modérateurs) ? Il se peut qu'en visitant les pages en question, google bot ait décidé de visiter ces pages.
     
  7. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 415
    J'aime reçus:
    0
    Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

    ça se trouve c'est un utilisateur mal intentionné. Car le spoof d'ip est facile à effectuer et comme aucune réponse n'est attendue du serveur, il est facile de se faire passer pour google.
    Mais bon, le mieux étant, au moins une protection par htaccess pour l'interface d'admin
     
  8. UsagiYojimbo
    UsagiYojimbo WRInaute accro
    Inscrit:
    23 Novembre 2005
    Messages:
    11 878
    J'aime reçus:
    73
    Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

    Si l'interface d'admin est correctement sécurisée, il n'y a aucunement besoin d'un .htaccess pour en protéger l'accès. Un bon formulaire d'authentification avec des mots de passe alphanumériques + vérification des sessions sur chaque page d'admin (et dans les scripts utilisés) est amplement suffisant et surtout plus ergonomique (meilleure intégration notamment).

    Protéger l'accès admin via un .htaccess est certes la manière la plus efficace de faire, mais c'est quand même loin d'être le top. C'est un peu comme installer un capteur biométrique sur la porte de son appart. :)
     
  9. forummp3
    forummp3 WRInaute passionné
    Inscrit:
    8 Février 2004
    Messages:
    1 519
    J'aime reçus:
    0
    Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

    si on n'a pas d'url ou d'accés a ton admin, on pourra pas trop t'aider...
     
  10. 5_legs
    5_legs WRInaute passionné
    Inscrit:
    30 Avril 2006
    Messages:
    1 550
    J'aime reçus:
    0
    Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

    C'est exact mais je dois être parano parce que moi je fais les deux..
    Par contre je n'ai pas compris pourquoi tu dis que c'est plus ergonomique

    (désolé pour le HS)
     
  11. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 415
    J'aime reçus:
    0
    Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

    un certain nombre de consoles d'admin se retrouvent avec des id de session dans les url. Je m'en aperçois lors d'inscriptions dans certains annuaires où je retrouve des id de session dans les referer de mes visiteurs.
    Donc il suffit qu'il y ait des referer de serveur pirate dans leurs stats, qu'ils les suivent pour voir la provenance de leurs visiteurs et ça y est, le pirate a une connexion sur leur admin.
     
  12. UsagiYojimbo
    UsagiYojimbo WRInaute accro
    Inscrit:
    23 Novembre 2005
    Messages:
    11 878
    J'aime reçus:
    73
    Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

    Tout simplement parce que designer la boîte modale d'identification générée par le htaccess, je ne crois pas ça possible (mais du coup c'est plus de l'ordre du design que de l'ergo, donc mon mot était mal choisi).

    L'avantage c'est qu'en gérant ça au niveau du site, on peut utiliser la BDD pour gérer les comptes ayant accès à l'admin, et mettre en place une gestion fine au niveau des droits. Avec le htaccess, ca me semble bien moins aisé...
     
  13. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 415
    J'aime reçus:
    0
    Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

    si, sans aucun problème. Il suffit, une fois authentifié, de se servir de la valeur de $_SERVER['REMOTE_USER'] et d'y affecter les droits gérés dans la BDD
     
  14. UsagiYojimbo
    UsagiYojimbo WRInaute accro
    Inscrit:
    23 Novembre 2005
    Messages:
    11 878
    J'aime reçus:
    73
    Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

    Si le serveur est correctement paramétré (pas de transfert des id de session dans les url), ca n'arrive pas.

    Je ne nie pas, note bien, que je trouve que c'est une mauvaise idée, mais je trouve que c'est beaucoup plus lourd de sécuriser une zone d'dmin avec un htaccess.
     
  15. 5_legs
    5_legs WRInaute passionné
    Inscrit:
    30 Avril 2006
    Messages:
    1 550
    J'aime reçus:
    0
    Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

    @UsagiYojimbo : mieux compris merci

    @UsagiYojimbo : c'est bien vrai, ça m'est déjà arrivé de le constater, et la session n'étant pas expirée d'arriver dans l'admin du visiteur.
    ça me fait croire que je suis parano : navigation avec le referer désactivé, protection par htaccess et protection des pages avec sessions et gestion des utilisateurs et droits et même à intervalles régulier je change le nom du répertoire.
    Malgré tout peut-on être à l'abri de tout... :?
     
  16. raljx
    raljx WRInaute passionné
    Inscrit:
    10 Juillet 2006
    Messages:
    2 064
    J'aime reçus:
    0
    Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

    J'ai fait aussi ce rapprochement puisque cela ne se passe que depuis 6, 7 jours. d'un autre cote il a deja fait dans le passé...

    Non aucun mail affiché.
    DOnc reste 2 solutions la faille et la recup de donnees par GG (toolbar ou autre)
    J'ai privilégié la faille : le fichier qui link sur le fichier et le fichier lui meme sont sécurisés (vérification des sessions)

    Pour l'instant j'ai pas trouvé , j'ai placé un .htaccess (ca me fait maintenant 2 login/mdp :? ) bien sur le pb a disparu mais j'avoue que ca me tracasse ... alors que si il faut, c'est un truc tout con, surement meme :roll:

    d'un autre cote, je n'ai qu'un seul fichier qui gere les bannissements, il est securisé, il retourne la page d'authentifcation s'il ne trouve pas la sessions en bdd.

    non pas id de sessions dans mes URL
     
  17. kevicar
    kevicar WRInaute impliqué
    Inscrit:
    13 Mai 2004
    Messages:
    668
    J'aime reçus:
    1
    Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

    Il y a t'il un rapport entre les utilisateurs bannis ?

    - Provenance géographique
    - Fournisseur Email
    - Pseudo bizarre
    etc...

    Moi j'aimerais bien qu'il vienne me bannir quelques Polonais Spameurs en ce moment ... c'est pire que les bresiliens et russes réunis !
     
  18. UsagiYojimbo
    UsagiYojimbo WRInaute accro
    Inscrit:
    23 Novembre 2005
    Messages:
    11 878
    J'aime reçus:
    73
    Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

    Ah tiens, moi au contraire je note une recrudescence des script de spam ayant une prédisposition pour l'utilisation d'un français passé à la moulinette SMS. :mrgreen:
     
  19. 5_legs
    5_legs WRInaute passionné
    Inscrit:
    30 Avril 2006
    Messages:
    1 550
    J'aime reçus:
    0
    Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

    Est-ce que l'analyse de tes logs ne peut pas t'apporter quelque chose ?
    Par exemple s'il s'agit vraiment de Google, arrive-t-il direct sur ce formulaire ou crawl-t-il d'autres liens auparavant ?
    Comme désormais l'accès est bloqué peut-être cela t'apportera-t-il une piste ?
     
  20. blman
    blman WRInaute accro
    Inscrit:
    5 Septembre 2003
    Messages:
    2 740
    J'aime reçus:
    1
    Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

    raljx :

    Tes sessions passent par l'url j'imagine : du coup, ça donne une URL indexable par GG grâce à sa toolbar. Et puis ça banni des utilisateurs car tu utilise un formulaire en GET.

    A mon avis, plutôt que d'utiliser une protection .htaccess :
    - utilise "noindex, nofollow" dans les metas de ton admin (j'imagine que c'est un header commun)
    - place un cookie à la connexion à ton admin et en plus de vérifier si les sessions sont correctes, test si le cookie existe.
    - réduit la durée de vie de tes sessions
     
  21. Suede
    Suede WRInaute passionné
    Inscrit:
    4 Octobre 2002
    Messages:
    2 474
    J'aime reçus:
    0
    Est-ce que tu peux bannir à partir des messages des membres? Que donne un cache des pages?
     
  22. raljx
    raljx WRInaute passionné
    Inscrit:
    10 Juillet 2006
    Messages:
    2 064
    J'aime reçus:
    0
    Non mais sessions ne passent pas par l'URL
    par contre en effet le script de bannissement utilise des variables en GET.
    J'ai analysé mes logs dans les access je vois donc GGBot appeller DIRECTEMENT le script + des variables ...
    depuis que j'ai mis le .htaccess bien entendu il descends dans les logs d'erreur ...

    @suede : non je ne peux pas bannir a partir des messages. Je ne peux intervenir que par le backoffice géré sur un autre serveur sur lequel il y a un robots.txt qui empeche toute indexation (tout en Dissalow) / 1 script d'authentification (en POST) qui utilise des sessions Mysql ...

    Alors maintenant oui, peut etre que la toolbar est en cause ...

    Je vais continuer mes investigations car c'est un sujet interessant et qui peut reellement servir ... de plus si je trouve une faille :\ elle est au moins presente depuis 2 ans ...
     
  23. e-kiwi
    e-kiwi WRInaute accro
    Inscrit:
    23 Décembre 2003
    Messages:
    13 257
    J'aime reçus:
    1
    j'ai eu ce problème avec alexa qui a du trouver une faille dans l'admin et qui m'a exécuté des actions d'admin ... je n'ai pas trouvé la faille, j'ai juste banni son IP pour le moment.
     
  24. forummp3
    forummp3 WRInaute passionné
    Inscrit:
    8 Février 2004
    Messages:
    1 519
    J'aime reçus:
    0
    moi je veux bien aider a trouver la faille, mais si personne ne donne d'info, on peut pas aider ...

    mais s'il y a aucun lien vers votre admin, je pense comme vous que c'est une extension du navigateur qui ouvre ces pages en utilisant vos cookies de connexion.

    Alors, le plus securisé, c'est d'avoir 2 comptes, un compte utilisateur et un compte administrateur avec lequel vous vous connectez juste pour faire des actions de sanctions ou d'administrations. Pour simplement poster, utilisez votre compte utilisateur.
     
  25. u8086
    u8086 WRInaute passionné
    Inscrit:
    24 Mai 2004
    Messages:
    2 446
    J'aime reçus:
    0
    T'aurais pas accordé le droit au bot d'Adsense de crawler des parties privatives de ton site ?
     
  26. raljx
    raljx WRInaute passionné
    Inscrit:
    10 Juillet 2006
    Messages:
    2 064
    J'aime reçus:
    0
    donc je revient sur le post après une semaine de recherches ........... qui n'ont rien données :(
    juste quelques elements en terme de temps

    l'acces au backoffice n'a pas bougé depuis 2-3 ans, le forcage (moi j'apelle ca un forcage) a commencé le 06/03/2009 avant, rien dans les logs ... (encore une chance que sur ce serveur je garde mes logs :\)

    Tous les fichiers executés sont appellés en DIRECT par le bot

    Et pour repondre à MagicYoyo : non je n'ai pas autorisé adsense a acceder a mes ressources protegees.
     
  27. Suede
    Suede WRInaute passionné
    Inscrit:
    4 Octobre 2002
    Messages:
    2 474
    J'aime reçus:
    0
    Normalement, si tu as interdit á google l'acces au page, tu devrais bientot voir des erreurs dans webmaster tools avec entre autre la page ou il a trouvé le lien.
     
Chargement...
Similar Threads - TRUC FOU GoogleBot Forum Date
WordPress Description et avis sur la même page : Structure Hn différentes ?? Débuter en référencement 6 Février 2020
Comment faire une structure en silo avec un menu de navigation ? Référencement Google 4 Février 2020
"Structure d'une expression clé" Débuter en référencement 17 Janvier 2020
Restructurer mon site suite à un audit RM Tech Demandes d'avis et de conseils sur vos sites 14 Janvier 2020
Astuce pour continuer l'affichage des étoiles dans les SERP de GOOGLE: balises de données structurée Référencement Google 6 Janvier 2020
Données structurées Page Catégorie e-commerce 10 Octobre 2019
Indexation d'un site en construction Crawl et indexation Google, sitemaps 1 Août 2019
Confus sur la manière d'intégrer les données structurées Référencement Google 30 Juillet 2019
Données structurées : vos expériences Référencement Google 15 Juillet 2019
Avis avisés suite à refonte de mon site Maison-Construction Demandes d'avis et de conseils sur vos sites 25 Juin 2019
  1. Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
    Rejeter la notice