Discussion :

[NSV]

Bonjour à tous,

Je viens de recevoir une alerte de Google (par les outils des webmasters), comme quoi mon site semble piraté.
Les deux URL données en exemple sont :
http://www.geneanum.com/clomid-walgreens-price/
http://www.geneanum.com/buy-dbol-nolvadex-online/

Ces URLs affichent du spam (bizarrement avec Firefox, cela ne le fait pas).

Après vérification par FTP des fichiers de mon site, ces dossiers n'existent pas, il n'y a pas url rewriting pour ces URLs.

Où cela peut se situer ? Je suis perdu !

En attendant, j'ai ajouté dans mon htaccess

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
RewriteRule ^clomid-walgreens-price(.*)$ / [L,QSA,R=301]
RewriteRule ^buy-dbol-nolvadex-online(.*)$ / [L,QSA,R=301]

Mais logiquement, le serveur aurait envoyé une erreur 404 avant.

J'utilise Cloudfare, mais je l'ai désactivé pour vérifier si ça ne venait pas de là

NSV

[Neckara]

Bonjour,

Tu as aussi un mouchard dans ton code :

Code javascript :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
	(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
	m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-17060574-2', 'geneanum.com');
ga('require', 'linkid', 'linkid.js');
ga('require', 'displayfeatures');
ga('send', 'pageview');

Peux-tu nous montrer le fichier de configuration de ton serveur web ?

[cavo789]

Bonjour

Ces URLs affichent du spam (bizarrement avec Firefox, cela ne le fait pas).

Cela peut être parfaitement normal : c'est du Black Hat SEO et le but du jeu est de voler une partie de ton traffic et précisement celui qui arrive depuis les moteurs de recherche. Si tu vas en direct sur ta page; le "hack" n'est pas affiché. Cela peut se faire soit via du code javascript qui détecte le user agent soit cela se fait via une redirection .htaccess.

Après vérification par FTP des fichiers de mon site, ces dossiers n'existent pas, il n'y a pas url rewriting pour ces URLs.

Si tu as le mode rewrite activé sur ton site, une URL ne correspond pas forcément à un dossier physique.Tu n'as pas dit quel était le CMS que tu as utilisé...Je te suggère d'aller jeter un coup d'oeil au fichier .htaccess qui se trouve à la racine pour voir s'il n'y a pas des lignes de code indues.Bonne journée.

[NSV]

Merci pour l'aide.

J'ai dumpé tout le site par FTP et comparé avec ma copie locale.

Cela m'a permet de constater des scripts apparus de nul part dans des plugins de Modx (c'est le CMS que j'utilise).
Un script permet l'upload de fichier, un affichant le phpinfo, ...

Le problème mon Modx est à la version 1.0.12, alors que la version actuelle est la 1.0.15

J'ai nettoyé les scripts, je vais m'occuper mettre à niveau mon site.

[Neckara]

En effet :

Evolution 1.0.15 Important Security Update and 100+ Changes

( http://modx.com/blog/2014/11/06/evol...d-100-changes/ )

La 1.0.15 date tout de même de novembre 2014.


La 1.0.13 de mars 2014.
Les versions ont l'air de sortir assez régulièrement, il faut donc te renseigner régulièrement pour éviter que cela ne se reproduise.


Attention à l'origine des plugins aussi.

[ABCIWEB]

Salut,

Tous les cms open source doivent être surveillés régulièrement et mis à jour dès qu'une nouvelle version sort. En effet la grande majorité des piratages ne cible pas un site en particulier mais les failles connues des cms et donc ça touche indifféremment tous les cms (en général les plus connus en premier parce que la cible est plus grande).

Et comme dit Neckara, fais très attention aussi aux plugins car la plupart du temps le code est moins souvent mis à jour (parfois moins bien codé aussi) et c'est une bonne porte d'entrée pour les pirates.

[NSV]

En effet !

De plus, la faille vient d'un plugin que je n'utilise pas...

Çà me servira de leçon.

Merci à vous