Fiabilité de Google pour détecter les codes malveillants ?!

Dertron · 26/12/2011, 17h57

Bonjour,

J'ai un site pour lequel Google a détecté un code malveillant fin novembre

. Ca veut dire :

- sur recherche google, un message qui fait peur : "ce site est dangereux"
- arrêt des campagnes de publicités Adwords
- blocage de la navigation sous Chrome et Firefox

Si c'est pour protéger l'internaute, tant mieux

!

Mais le problème, c'est qu'après vérification, le site ne contenait aucun malware

. J'ai donc suivi la procédure pour dire à Google que le site avait été nettoyé (alors que je n'avais rien fait, puisque rien trouvé !!!). Résultat des courses, le site a été réactivé par Google, et avec sa bénédiction en plus (me confirmant que mon site n'hébergeait plus de code malveillant).

Mercredi soir, ça a recommencé (Joyeux Noël Félix !) Même sanction, même correction, même rédemption

...
Ca va finir par pas me faire rire, car ça veut dire à chaque fois plusieurs jours sans un seul visiteur...

Est-ce que c'est déjà arrivé à certains d'entre vous ?
Pour info, j'avais posté fin novembre des détails sur cette histoire : forum.webrankinfo.com/google-fausse-detection-code-malveillant-t149118.html

Merci pour vos retours !

dsy · 27/12/2011, 10h23

Si c'est un serveur en mutualisé, peut-être qu'il existe une faille globale, exemple avec php.ini :
http://blog.sucuri.net/2011/12/malwa...m-php-ini.html

Le serveur est infecté, nettoyé (par l'hébergeur) puis réinfecté car la faille est toujours présente.

Dertron · 28/12/2011, 15h29

Intéressant cette approche d'infection globale par le php.ini !
En fait, dans mon cas il s'agit d'un serveur dédié qui n'a donc pas été nettoyé par l'hébergeur. J'ai vérifié le php.ini, pas de soucis dedans. Et en plus, si ça avait été le cas, en regardant le code source d'une page depuis Firefox, j'aurais vu le code javascript incriminé.

Je m'oriente toujours vers un problème de DNS. Google croit aller sur mon site, et atterrit ailleurs. J'avais eu la confirmation de OVH qu'ils n'avaient pas eu de problème sur leurs serveurs DNS, vu que c'est eux qui gère mon domaine en .fr.
Mais est-ce que vous pensez que le problème puisse venir du cache DNS de Google ? On peut partir du principe que Google n'a jamais de problèmes, mais si pour une fois c'était le cas

? Mais je ne serais pas le seul à avoir ce problème, non ?!?

Alain69100 · 28/12/2011, 21h29

Bonsoir à tous,

depuis hier soir, j'ai reçu le message suivant (j'ai juste remplacé le nom de mon site par "mon_site.fr")

De : noreply@google.com
Objet : Phishing notification regarding mon_site.fr
Date : 27 décembre 2011 13:04:25 HNEC
À : abuse@mon_site.fr, admin@mon_site.fr,
[...] webmaster@mon_site.fr

Dear site owner or webmaster of mon_site.fr,
We recently discovered that some pages on your site look like a possible phishing attack, in which users are encouraged to give up sensitive information such as login credentials or banking information. We have removed the suspicious URLs from Google.com search results and have begun showing a warning page to users who visit these URLs in certain browsers that receive anti-phishing data from Google.

Below are one or more example URLs on your site which may be part of a phishing attack:

http://mon_site .fr/~centreon/verifier/etap1.html

Here is a link to a sample warning page:
http://www.google.com/interstitial?u...ier/etap1.html

We strongly encourage you to investigate this immediately to protect users who are being directed to a suspected phishing attack being hosted on your web site. Although some sites intentionally host such attacks, in many cases the webmaster is unaware because:

1) the site was compromised
2) the site doesn't monitor for malicious user-contributed content
If your site was compromised, it's important to not only remove the content involved in the phishing attack, but to also identify and fix the vulnerability that enabled such content to be placed on your site. We suggest contacting your hosting provider if you are unsure of how to proceed.

Once you've secured your site, and removed the content involved in the suspected phishing attack, or if you believe we have made an error and this is not actually a phishing attack, you can request that the warning be removed by visiting
http://www.google.com/safebrowsing/r...r/?tpl=emailer
and reporting an "incorrect forgery alert." We will review this request and take the appropriate actions.

Sincerely,
Google Search Quality Team

J'ai d'abord cru à un message bidon, à cause du blanc ajouté juste avant le .fr (dans le 1er URL cité), mais en otant ce blanc, le lien conduit sur une page valide qui contient un formulaire de saisie immitant à s'y méprendre un contrôle Visa-MasterCard. Avant d'y arriver, Firefox m'affiche l'avertissement suivant:

Page contrefaite !

La page Web sur mon_site.fr a été signalée comme étant une contrefaçon et a été bloquée sur la base de vos préférences de sécurité.

Les pages Web contrefaites sont conçues pour vous amener à révéler des informations personnelles ou financières en imitant des pages en lesquelles vous pouvez avoir confiance.

Saisir des informations sur cette page Web peut résulter en une usurpation d'identité ou d'autres fraudes.

Je n'aurais peut-être pas dû le faire, mais j'ai testé le faux formulaire de vérification bancaire (avec des données bidon), et j'ai obtenu une pleine page de messages d'erreurs.

Ce qui m'étonne, c'est que Centreon est un logiciel de surveillance et de supervision réseau, et je me demande si l'URL :
http://mon_site.fr/~centreon/verifier/etap1.html
affiche bien une page située sur mon site, car j'ai cherché avec un client FTP sur mon site, et je n'ai rien trouvé à part les fichiers de WordPress (qui sont trop nombreux pour que je les scrute tous).

J'ai fait les tests des 3 sites suivants:
http://www.unmaskparasites.com/
http://sitecheck.sucuri.net/scanner/
http://soswebscan.com

Mais aucun d'entre eux n'a révélé quoi que ce soit d'anormal (à part une mise à jour de WP à effectuer car je n'ai pas encore la toute dernière version qui est encore un peu trop récente à mon goût).

Je précise que cette "anomalie" ne bloque nullement mon site, mais je me demande si je peux encore l'administrer en toute sécurité (à tout hasard, j'ai désactivé toutes les extensions).

Merci de m'éclairer

Cordialement

Alain

dsy · 29/12/2011, 09h37

Citation:

Envoyé par Dertron

Je m'oriente toujours vers un problème de DNS. Google croit aller sur mon site, et atterrit ailleurs. J'avais eu la confirmation de OVH qu'ils n'avaient pas eu de problème sur leurs serveurs DNS, vu que c'est eux qui gère mon domaine en .fr.

Il faudrait l'historique des adresses IP de ton domaine pour le prouver à OVH. Il existe peut-être un outil de ce genre sur le web.

Citation:

Envoyé par Dertron

Mais est-ce que vous pensez que le problème puisse venir du cache DNS de Google ? On peut partir du principe que Google n'a jamais de problèmes, mais si pour une fois c'était le cas

? Mais je ne serais pas le seul à avoir ce problème, non ?!?

Non je pensais plutôt à un pb de DNS chez OVH.
As-tu l'URL exacte détectée comme malveillante par Google ?

Alain > Crée un nouveau post stp.

Alain69100 · 29/12/2011, 09h50

Citation:

Envoyé par dsy

Alain > Crée un nouveau post stp.

ok, je vais le faire, mais il m'a semblé que ma question rejoignait celle de Dertron, car je me demande moi aussi s'il y a un vrai pb sur mon site ou bien si Google ne se mélange pas un peu les pinceaux ... (mais je n'ai pas la culture web nécessaire pour avoir un avis autorisé à ce sujet)

A tout de suite sur un nouveau post ...

Alain

Dertron · 29/12/2011, 19h06

dsy, si je comprends bien, il faudrait que je puisse avoir une historique des IP associées à mon domaine chez OVH

. Je ne sais pas si c'est possible, il faudrait qu'OVH ait loggué tous les changements... Je tiens à préciser que lorsque j'essayais de consulter mon site depuis le bureau, depuis chez moi, depuis mon téléphone portable ou depuis chez mon associé, on tombait toujours sur le bon site (code source à l'appui !). C'est pour ça que j'avais l'impression que le problème de DNS devait plutôt provenir de celui qui allait crawler le site, à savoir Google. En attendant, je demande à OVH leur avis et je te tiens au courant. Merci de t'intéresser à mon cas que je ne souhaite à personne (c'est bien connu, rien de pire que les pannes aléatoires)

!!!

Dertron · 30/12/2011, 08h19

Toujours en attente de réponse d'OVH, mais en attendant, j'ai un peu regardé mes fichiers logs apache.
Il s'avère que Googlebot est bien passé le 22 novembre.
En ne regardant que les accès à la page d'accueil de Googlebot, j'obtiens quelque chose d'intéressant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
# cat www.mondomaine.fr.20111101.log |grep Googlebot |grep "GET / "
66.249.72.226 - - [01/Nov/2011:09:44:48 +0100] "GET / HTTP/1.1" 200 3701 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
64.141.102.91 - - [01/Nov/2011:20:39:07 +0100] "GET / HTTP/1.1" 301 231 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
64.141.102.91 - - [01/Nov/2011:20:39:07 +0100] "GET / HTTP/1.1" 200 13740 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.72.226 - - [01/Nov/2011:21:45:00 +0100] "GET / HTTP/1.1" 200 3690 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
n

J'ai donc une page d'accueil qui fait 3690 octets ou 13740 octets. Ca correspond en fait à la différence entre compressé ou pas compressé...
En remontant dans mes logs, il s'avère qu'au 01/11/2011, j'avais déjà ça.

Est-ce que vous savez si c'est normal que Googlebot utilise des fois la compression gzip, des fois pas ?

Dertron · 09/01/2012, 17h42

Ca recommence

... A nouveau, le message "page malveillante" apparaît sur firefox et chrome dès qu'on essaie d'aller sur www . b i o s e n s e . fr
Si je vérifie le code source, toujours pas de soucis ni de code malveillant à l'horizon. Est-ce que vous pouvez me dire si le site est accessible pour vous ?

Alain69100 · 09/01/2012, 19h24

Citation:

Envoyé par Dertron

Si je vérifie le code source, toujours pas de soucis ni de code malveillant à l'horizon. Est-ce que vous pouvez me dire si le site est accessible pour vous ?

Je viens d'essayer d'abord avec Firefox puis avec Safari.

Avec Firefox, j'ai eu l'alerte "page malveillante", puis en passant outre une page vide, comme lorsqu'il n'y a aucun fichier à la racine du site :

Index of /

Icon Name Last modified Size Description

Avec Safari par contre, une fois l'avertissement passé outre, j'ai eu une connexion SSL (port 443) sur ovh (pas noté les détails) et une page me proposant des logiciels. Je viens de réessayer et j'obtiens cette fois-ci une page vide (cf ci-dessus)

Cordialement

Alain

Dertron · 17/01/2012, 17h10

Merci Alain. J'ai finalement fait un changement d'hébergement (mutualisé OVH) pour avoir bonne conscience. En me disant que si ça se reproduit, j'aurai peut-être un intermédiaire entre Google et moi...

Pour info, impossible d'avoir plus d'infos de la part de Google. Quelques perles sur la mauvaise foi (ou les réponses automatiques) du maître du monde :

Citation:

J'ai le regret de vous informer que tant que notre outil de détection de
Malware ne présente pas d'alerte, nous ne sommes pas capable de mener une
investigation.

=> en fait, quand j'ai fait ma demande au support Adwords, j'avais bien une alerte ! Je ne voulais quand même pas attendre leur réponse technique pour remettre le site en état de marche en faisant la demande de révision du site...

Citation:

D'autre part, Google ne produit pas de données historiques concernant les malwares

=> comme ça c'est simple, pas de logs, pas de traces, pas de tracas...
Quand on voit le budget qu'on peut balancer dans Adwords, ça fait quand même mal de voir qu'en cas de problème il n'y a plus personne en face...

En attendant, je n'ai rien changé sur mon site et à nouveau comme les autres fois, il est vu comme "clean" par Google. Donc ça me confirme que l'erreur vient bien de Google, jusqu'à ce que celui-ci me prouve le contraire...

26/12/2011, 17h57	#1
Dertron Futur Membre du Club Inscription : mai 2004 Messages : 37 Détails du profil Informations forums : Inscription : mai 2004 Messages : 37 Points : 16 Points : 16	Fiabilité de Google pour détecter les codes malveillants ?! Bonjour, J'ai un site pour lequel Google a détecté un code malveillant fin novembre . Ca veut dire : - sur recherche google, un message qui fait peur : "ce site est dangereux" - arrêt des campagnes de publicités Adwords - blocage de la navigation sous Chrome et Firefox Si c'est pour protéger l'internaute, tant mieux ! Mais le problème, c'est qu'après vérification, le site ne contenait aucun malware . J'ai donc suivi la procédure pour dire à Google que le site avait été nettoyé (alors que je n'avais rien fait, puisque rien trouvé !!!). Résultat des courses, le site a été réactivé par Google, et avec sa bénédiction en plus (me confirmant que mon site n'hébergeait plus de code malveillant). Mercredi soir, ça a recommencé (Joyeux Noël Félix !) Même sanction, même correction, même rédemption... Ca va finir par pas me faire rire, car ça veut dire à chaque fois plusieurs jours sans un seul visiteur... Est-ce que c'est déjà arrivé à certains d'entre vous ? Pour info, j'avais posté fin novembre des détails sur cette histoire : forum.webrankinfo.com/google-fausse-detection-code-malveillant-t149118.html Merci pour vos retours !
	00

27/12/2011, 10h23	#2
dsy Membre habitué Inscription : septembre 2002 Messages : 75 Détails du profil Informations forums : Inscription : septembre 2002 Messages : 75 Points : 100 Points : 100	Si c'est un serveur en mutualisé, peut-être qu'il existe une faille globale, exemple avec php.ini : http://blog.sucuri.net/2011/12/malwa...m-php-ini.html Le serveur est infecté, nettoyé (par l'hébergeur) puis réinfecté car la faille est toujours présente.
	10

28/12/2011, 15h29	#3
Dertron Futur Membre du Club Inscription : mai 2004 Messages : 37 Détails du profil Informations forums : Inscription : mai 2004 Messages : 37 Points : 16 Points : 16	Intéressant cette approche d'infection globale par le php.ini ! En fait, dans mon cas il s'agit d'un serveur dédié qui n'a donc pas été nettoyé par l'hébergeur. J'ai vérifié le php.ini, pas de soucis dedans. Et en plus, si ça avait été le cas, en regardant le code source d'une page depuis Firefox, j'aurais vu le code javascript incriminé. Je m'oriente toujours vers un problème de DNS. Google croit aller sur mon site, et atterrit ailleurs. J'avais eu la confirmation de OVH qu'ils n'avaient pas eu de problème sur leurs serveurs DNS, vu que c'est eux qui gère mon domaine en .fr. Mais est-ce que vous pensez que le problème puisse venir du cache DNS de Google ? On peut partir du principe que Google n'a jamais de problèmes, mais si pour une fois c'était le cas ? Mais je ne serais pas le seul à avoir ce problème, non ?!?
	00

28/12/2011, 21h29	#4
Alain69100 Invité régulier Inscription : décembre 2011 Messages : 8 Détails du profil Informations personnelles : Sexe : Localisation : France Informations forums : Inscription : décembre 2011 Messages : 8 Points : 5 Points : 5	Bonsoir à tous, depuis hier soir, j'ai reçu le message suivant (j'ai juste remplacé le nom de mon site par "mon_site.fr") De : noreply@google.com Objet : Phishing notification regarding mon_site.fr Date : 27 décembre 2011 13:04:25 HNEC À : abuse@mon_site.fr, admin@mon_site.fr, [...] webmaster@mon_site.fr Dear site owner or webmaster of mon_site.fr, We recently discovered that some pages on your site look like a possible phishing attack, in which users are encouraged to give up sensitive information such as login credentials or banking information. We have removed the suspicious URLs from Google.com search results and have begun showing a warning page to users who visit these URLs in certain browsers that receive anti-phishing data from Google. Below are one or more example URLs on your site which may be part of a phishing attack: http://mon_site .fr/~centreon/verifier/etap1.html Here is a link to a sample warning page: http://www.google.com/interstitial?u...ier/etap1.html We strongly encourage you to investigate this immediately to protect users who are being directed to a suspected phishing attack being hosted on your web site. Although some sites intentionally host such attacks, in many cases the webmaster is unaware because: 1) the site was compromised 2) the site doesn't monitor for malicious user-contributed content If your site was compromised, it's important to not only remove the content involved in the phishing attack, but to also identify and fix the vulnerability that enabled such content to be placed on your site. We suggest contacting your hosting provider if you are unsure of how to proceed. Once you've secured your site, and removed the content involved in the suspected phishing attack, or if you believe we have made an error and this is not actually a phishing attack, you can request that the warning be removed by visiting http://www.google.com/safebrowsing/r...r/?tpl=emailer and reporting an "incorrect forgery alert." We will review this request and take the appropriate actions. Sincerely, Google Search Quality Team J'ai d'abord cru à un message bidon, à cause du blanc ajouté juste avant le .fr (dans le 1er URL cité), mais en otant ce blanc, le lien conduit sur une page valide qui contient un formulaire de saisie immitant à s'y méprendre un contrôle Visa-MasterCard. Avant d'y arriver, Firefox m'affiche l'avertissement suivant: Page contrefaite ! La page Web sur mon_site.fr a été signalée comme étant une contrefaçon et a été bloquée sur la base de vos préférences de sécurité. Les pages Web contrefaites sont conçues pour vous amener à révéler des informations personnelles ou financières en imitant des pages en lesquelles vous pouvez avoir confiance. Saisir des informations sur cette page Web peut résulter en une usurpation d'identité ou d'autres fraudes. Je n'aurais peut-être pas dû le faire, mais j'ai testé le faux formulaire de vérification bancaire (avec des données bidon), et j'ai obtenu une pleine page de messages d'erreurs. Ce qui m'étonne, c'est que Centreon est un logiciel de surveillance et de supervision réseau, et je me demande si l'URL : http://mon_site.fr/~centreon/verifier/etap1.html affiche bien une page située sur mon site, car j'ai cherché avec un client FTP sur mon site, et je n'ai rien trouvé à part les fichiers de WordPress (qui sont trop nombreux pour que je les scrute tous). J'ai fait les tests des 3 sites suivants: http://www.unmaskparasites.com/ http://sitecheck.sucuri.net/scanner/ http://soswebscan.com Mais aucun d'entre eux n'a révélé quoi que ce soit d'anormal (à part une mise à jour de WP à effectuer car je n'ai pas encore la toute dernière version qui est encore un peu trop récente à mon goût). Je précise que cette "anomalie" ne bloque nullement mon site, mais je me demande si je peux encore l'administrer en toute sécurité (à tout hasard, j'ai désactivé toutes les extensions). Merci de m'éclairer Cordialement Alain
	00

29/12/2011, 19h06	#7
Dertron Futur Membre du Club Inscription : mai 2004 Messages : 37 Détails du profil Informations forums : Inscription : mai 2004 Messages : 37 Points : 16 Points : 16	dsy, si je comprends bien, il faudrait que je puisse avoir une historique des IP associées à mon domaine chez OVH . Je ne sais pas si c'est possible, il faudrait qu'OVH ait loggué tous les changements... Je tiens à préciser que lorsque j'essayais de consulter mon site depuis le bureau, depuis chez moi, depuis mon téléphone portable ou depuis chez mon associé, on tombait toujours sur le bon site (code source à l'appui !). C'est pour ça que j'avais l'impression que le problème de DNS devait plutôt provenir de celui qui allait crawler le site, à savoir Google. En attendant, je demande à OVH leur avis et je te tiens au courant. Merci de t'intéresser à mon cas que je ne souhaite à personne (c'est bien connu, rien de pire que les pannes aléatoires) !!!
	00

09/01/2012, 17h42	#9
Dertron Futur Membre du Club Inscription : mai 2004 Messages : 37 Détails du profil Informations forums : Inscription : mai 2004 Messages : 37 Points : 16 Points : 16	Ca recommence ... A nouveau, le message "page malveillante" apparaît sur firefox et chrome dès qu'on essaie d'aller sur www . b i o s e n s e . fr Si je vérifie le code source, toujours pas de soucis ni de code malveillant à l'horizon. Est-ce que vous pouvez me dire si le site est accessible pour vous ?
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email