Un sous-domaine pharmacy sur mon site ?

[Joram]

Bonjour,

En utilisant la commande info:www.monsite.com, je me suis aperçu que j'avais des dizaines de pages du type http://www.example.com/pharmacy/produit_xxx.htm

En cliquant dessus on arrive sur un site de E-commerce américain qui vend des produits pharmaceutiques.

Quelqu'un a-t-il déjà eu ce problème ? Quelle parade ?

Mon site est un site OSCommerce.

D'avance merci de vos réponses.

 

[Audiofeeline]

- Tu t'es fait hacker?
- Tu es chez un hébergeur discount qui utilise ce système pour rentabiliser son serveur?
- Tu as oublier d'effacer ces pages sur ton serveur?...

Sinon je vois pas... Avec l'adresse de ton site ça aidrait...

 

[Joram]

Je suis sur un serveur dédié.

Le répertoire \pharmacy n'existe bien sûr pas sur mon site.

Je ne peux pas communiquer l'adresse du site. Il s'agit d'un site commercial actuellement leader français dans son domaine et générant un gros CA.

Le site pirate semble utiliser ma racine comme une simple redirection comme lorsqu'on achète un nom de domaine en gardant son site hébergé chez un gratuit.

 

[Audiofeeline]

Et si tu rajoute ce repertoire à robot.txt?

 

[Joram]

J'ai créé une restriction pour ce répertoire il y a une dizaine de jours lorsque je me suis rendu compte que dans les informations sur mon site Google m'indiquait ne pas trouver des pages de ce type.

Du coup Google semble ne plus chercher à indexer ces pages.

Mais elles existent dans la commande Google :

h**p://www.google.fr/search?hl=fr&lr=&q=site:www.monsite.com

Par ailleurs, je peux quand même citer le site d'arrivée :

h**p://w**.drugs-o-matic.com

Enfin, quel est l'intérêt pour ce site et quels sont les risques pour le mien ?

 

[PigeonDeCombat]

Si c'est de l'oscommerce ton site envoie ton url par MP j'te dirai si il é merdique. Mais j'pense que j'ai trouvé ton site sur Google ou du moins quelqu'un dans le même cas que toi on dirait. Du moins ça concorde lol

 

[Joram]

L'URL n'est pas "merdique", je l'ai créée il y a deux ans en .fr et je l'ai aussi en .com

Sinon quel rapport avec le fait qu'il s'agisse d'un site OS Commerce ?

 

[PigeonDeCombat]

Je parlé pas de ton url m'sieur JR ;-) Mais OSCommerce commence à prendre une certaine place dans le milieu du e-commerce et donc les failles de sécurité commence à sortir de partout. Mais j'étalerai pas les failles de sécurité des sites OSCommerce sur un forum publique.

Salutations.

 

[gomoz]

ben en même temps ca peut toujours être utile de savoir où était la faille pour avoir le fin mot de l'histoire. C'est quand même assez inquietant je trouve.

 

[Joram]

La faille n'a pas été trouvée.

Mais en créant un répertoire pharmacy sur le site avec un fichier htaccess, ces pages sont maintenant devenues inaccessibles.

C'est mieux que rien mais j'attends toujours une explication à ce phénomène...

 

[Leonick]

Installe ton site sur un autre serveur et appelle cette url /pharmacy/..., ça permettra de voir si cela vient du script d'os commerce ou si ton serveur a été hacké. Car pour une redirection, ça ne peut venir que de ces 2 cas

 

[rog]

il ne t'es pas venu à l'idée que l'intégrité des données clients peut être compromises ?

rog

 

[Joram]

Le fait de tester le site sur une autre url est intéressant mais je n'ai malheureusement pas le temps de le faire en ce moment...

Et puis, bibi il fait ce qu'il peut avec sa petite m...

Il faut vraiment que j'embauche un vrai Webmaster (enfin c'est prévu) ...

En tout cas, je vous tiendrai au courant dès que cette solution aura été testée.

NB : en ce qui concerne l'intégrité des données clients, je ne suis pas trop inquiet dans la mesure où il s'agit d'un site pro d'une part et que le paiement sécurisé est assuré par site tiers d'autre part.

 

[Leonick]

NB : en ce qui concerne l'intégrité des données clients, je ne suis pas trop inquiet dans la mesure où il s'agit d'un site pro d'une part et que le paiement sécurisé est assuré par site tiers d'autre part.

S'il y a une faille, site pro ou pas, ça reste une faille.
Si une redirection de ce genre est possible, pourquoi pas un changement de prix pour un article (c'est déjà arrivé il y a quelques années à de très gros sites de e-commerce), voir un prix négatif (donc virement possible (??) vers le client ?

 

[Joram]

Il y a et il y aura toujours des failles possibles...

C'est aussi pourquoi, tous les traitements restent manuels. C'est l'avantage d'un site pro où le panier moyen est élevé et où le débit ne sera jamais de plusieurs centaines de commandes par jour...

De plus, le contrôle humain c'est encore le moyen le plus sûr pour éviter les arnaques !

Dans l'absolu, un nouveau site et le changement de serveur sont prévus de toute façon d'ici la fin de l'année.