Discussion :

[Bricoman]

Bonjour, en tapant le nom de mon restaurant sur Google, j'ai trouvé une réplique exacte de mon site (customseafood.fr) consultable sous un nom de domaine inconnu : jmj2000.cef.fr

J'ai signalé le problème à mon hébergeur Ex2Hosting qui m'a répondu que la faille ne venait pas de chez eux. De plus, il m'a dit qu'un piratage de genre là, il n'en avait jamais vu.

Ce n'est pas une copie figée de mon site à un instant T que le pirate a reproduit, mais c'est mon site live complet qui se retrouve accessible sur une autre adresse ! Chaque modification sous l'un des nom de domaine est visible aussitôt dans l'autre.

Visiblement, cef.fr est un site catholique, et jmj2000 est l'abréviation de Journée Mondiale de la Jeunesse 2000. Mais je ne pense pas que mon pirate soit catholique (ni moi, d'ailleurs), et mon site de restaurant de fruit de mer n'a rien à voir avec la JMJ.

Si quelqu'un peut m'expliquer ce qui m'arrive, que Dieu le bénisse !

[ChipsAlaMenthe]

Habemus papaaaaaammm.....
Tu as essayé de mettre ton site inaccessible temporairement avec par exemple une page d'accueil "Désolé le site est en construction", pour savoir si le site cible le copie aussi? Car ça n'aurait aucun intérêt pour lui de copier une page inaccessible. ^^ Comme ça tu auras peut être une piste ^^.
En même temps je ne comprends pas non plus l'intérêt de copier un menu restaurant moules frites...

Très étrange, petit jésus est plein de surprises!

[ram-0000]

un problème ou une erreur lors de l'enregistrement DNS de jmj2000.cef.fr ?

[cavo789]

Bonjour

Les deux sites ont la même adresse Ip (http://get-site-ip.com/ ou le bon vieux ping en ligne de commande).

Le site http://sharingmyip.com/?site=jmj2000.cef.fr%2F est plus loquace :

== Site(s) at this IP address (91.121.62.175) ==
www.customseafood.fr
www.jmj2000.cef.fr
jmj2000.cef.fr
(partiel)

Tu es sûr que ton hébergeur ne peux pas t'aider car cela semble quand même sa machine...

L'URL aussi est étonnante : http://jmj2000.cef.fr/customseafood.fr/index.php, c'est comme s'il se connectait sur un domaine pour extraire le contenu d'une page (soit un "bête" curl en php; un peu comme un "iframe" en html).

A ta place, je continuerai à demander à mon hébergeur une explication.

[Bricoman]

@ChipsAlaMenthe

En fait, la moindre saisie dans mon site est visible dans l'autre et vice-versa. Je ne pense pas que ce soit une copie, mais plutôt un autre nom de domaine qui pointe sur mon site.

J'ai cru qu'un pirate voulait détourner les données de cartes bleues de mes clients sur son url, pour se rincer l'oeil.

Mais à la lecture des commentaires suivants, je pense à présent qu'il s'agit plus vraisemblablement d'une erreur de dns.

Merci quand même de t'être intéressé au sort de mes moulesAuPersil, ChipAlaMenthe !


@ram-0000

C'est vrai qu'à un moment j'étais passé par le dns de CloudFlare, avant de revenir à celui de mon hébergeur. Peut-être que CloudFlare a alloué l'adresse vacante à un blogueur catho. Mais comment se fait-il que le blogueur en question ne s'en soit pas rendu compte ? Et comment réparer ça maintenant ? En tout cas, merci pour la piste, ram. Je vais creuser ça ...


@cavo789

Merci beaucoup pour ta réponse très technique ! J'aurais été incapable de trouver ça tout seul.

J'ai effectivement un hébergement mutualisé, ça pourrait être l'explication.

Mais l'hébergeur est catégorique : il n'y est pour rien.

Voici sa réponse à ma question :

Bonjour,

Est-ce que vos autres sites ont été touchés ?

Le serveur n'a pas été attaqué ni touché ici. Si le pirate a entré dans votre compte, ce que je doute, il a simplement utiliser une faille dans 1 de vos sites dans le compte. De plus, c'est rare qu'un pirate rentre dans un site pour le copier, en faite normalement, il aurait effacer le votre. Par contre, le site semble être chez cef.fr et vous pouvez déposer plainte à leur niveau.
Cordialement
--------------------------------
M. T.
Service à la clientèle
--------------------------------
EX2.com
Les experts à la puissance 2 de l'hébergement en France.
Le 2015-06-02 10:58, B. a écrit :

Bonjour,

Je crois que mon serveur a été piraté.

J'ai retrouvé mon site customseafood.fr recopié à l'identique, mais sous un autre nom de domaine : jmj2000.cef.fr

Le pirate a forcément eu accès au serveur, puisque les modifications de la bases de données sont immédiatement répercutées.

Merci de solutionner le problème.

Envoyé depuis l'application Mail Orange
----------------


J'ai essayé d'appeler le webmaster de cef.fr, mais ça ne répond pas.

Je vais renvoyer un mail à l'hébergeur en lui rapportant tout ce que tu m'as dit, cavo.

Merci encore pour votre aide à tous !

Trop bien ce forum où des pros prennent le temps de dépanner les zéros dans mon genre.

[Bricoman]

Me revoilà !

Le monsieur de chez Ex2 m'a répondu super vite :


Bonjour,

91.121.62.175 customseafood.mobilis-in-mobili.fr mobilis-in-mobili.fr mobilisi2.mobilis-in-mobili.fr ftp.mobilis-in-mobili.fr customseafood.mobilis-in-mobili.fr(1 accts) mobilis-in-mobili.fr(1 accts) mobilisi2.mobilis-in-mobili.fr(1 accts)

http://91.121.62.175/customseafood.fr/index.php

Le domaine jmj2000.cef.fr pointe vers votre adresse ip mais il n'y a aucun contrôle sur le site ici. Le problème est la configuration du domaine jmj2000.cef.fr qui est mal configuré chez son registraire. c'est auprès de cef.fr que vous devez voir.

Il ne possède pas votre site ni accès à votre site, il affiche simplement votre site via une direction de la zone A.
Cordialement
--------------------------------
M. T.
Service à la clientèle
--------------------------------
EX2.com
Les experts à la puissance 2 de l'hébergement en France.
Le 2015-09-21 18:05, B. a écrit :

Bonjour,

Il s'agit sans doute d'un conflit avec un autre de vos clients hébergé sur la même machine que moi.

Le site http://sharingmyip.com/?site=jmj2000.cef.fr%2F indique que customseafood.fr et jmj2000.cef.fr ont la même IP :

== Site(s) at this IP address (91.121.62.175) ==
www.customseafood.fr
www.jmj2000.cef.fr
jmj2000.cef.fr
(partiel)

Pourriez-vous vérifier que votre machine n'héberge pas ces deux sites ?

Merci

Donc, il m'a listé à son tour les domaines hébergé sur mon IP, et le site catho n'y figure plus. Pourtant, j'ai vérifié le lien de cavo, et chez sharyingmyip, le site catho apparaît !

J'avoue qu'à mon niveau, je capte pas tout mais bon, du moment que c'est pas un pirate malveillant qui est derrière tout ça, c'est plus trop gênant.

J'ignore encore le pourquoi du comment du problème, mais je considère ce fil résolu.

A ciao, merci !

[BufferBob]

salut,

c'est un peu le jeu de la patate chaude j'ai l'impression leur truc, chacun se la renvoie pour pas se prendre la tête

en fait ce qui pose souci (?) c'est cette redirection :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$ curl -s http://91.121.62.175/
<script>
        document.location.href = "./customseafood.fr/index.php";
</script>

qui, elle, est bien coté hébergeur et non DNS, plus largement le problème étant que si on va sur http://91.121.62.175/ on est automatiquement redirigé avec son navigateur sur le site qui n'est censé s'afficher que via http://(www.)customseafood.fr/
au niveau DNS, si on fait pointer toto.com sur l'adresse 91.121.62.175 on aura le même comportement que pour http://jmj2000.cef.fr/, c'est à dire qu'on va tomber sur la redirection et le site va s'afficher

la réponse de l'hébergeur consiste à dire "il suffit que toto.com arrête de pointer sur l'adresse IP", mais c'est faux, c'est bien de sa responsabilité à lui (ou... celle de votre développeur web peut-être ?) en tous cas c'est bien sur la machine de l'hébergeur que ça se passe, la solution étant de supprimer cette redirection, à moins qu'elle serve à quelque chose de précis, mais c'est dans tous les cas à valider avec l'hébergeur/la personne qui a la main sur la redirection javascript

[Bricoman]

Bingo ! T'as trouvé la solution, Buffer.

J'avais placé un document.location.href à la racine de mon hébergement pour que mon domaine mobilis-in-mobili.com pointe également sur customseafood.fr.

Je viens de supprimer la redirection de la racine, pour la placer directement dans le répertoire de mobilis-in-mobili.com et tout fonctionne.

Le site jmj2000.cef.fr, que je ne connais ni d'Adam ni d'Eve, affiche à présent un 404 not found.

Donc, ça confirmerait mon hypothèse que l'hébergeur a mal partitionné sa machine mutualisé. Le domaine jmj2000 de mon colocataire catho a dû subir la redirection de ma racine.

Merci pour ta soluce ! Au fait, comment t'as vu le document.location.href ? J'ai affiché le code source de jmj2000, mais je n'ai pas trouvé cette ligne.

[BufferBob]

ça confirmerait mon hypothèse que l'hébergeur a mal partitionné sa machine mutualisé. Le domaine jmj2000 de mon colocataire catho a dû subir la redirection de ma racine.

c'est plus un problème de droits sur le répertoire parent que de partitionnement à mon avis, ou plus simplement de configuration du serveur web, difficile à dire sans plus de détails mais effectivement ça pose question

Au fait, comment t'as vu le document.location.href ? J'ai affiché le code source de jmj2000, mais je n'ai pas trouvé cette ligne.

avec la commande curl comme indiqué dans mon post précédent (c'est une commande Linux à la base, disponible sous Windows à travers des environnements spécifiques comme Cygwin en l'occurrence)
avec ton navigateur c'est normal, le temps que tu ailles regarder le code source il a déjà suivi la redirection j'imagine (étant donné que ton navigateur exécute le Javascript), une solution alternative est d'utiliser un bloqueur comme NoScript

[cavo789]

Au fait, comment t'as vu le document.location.href ?

Oui, cela m'intéresse aussi

Bonne journée.

[Bricoman]

c'est plus un problème de droits sur le répertoire parent que de partitionnement à mon avis, ou plus simplement de configuration du serveur web

Ouais, c'est ce que je voulais dire, mais avec mon vocabulaire maison quoi lol

avec la commande curl comme indiqué dans mon post précédent (c'est une commande Linux à la base, disponible sous Windows à travers des environnements spécifiques comme Cygwin en l'occurrence)

Ah quand même. Je pouvais toujours chercher !

Je vais me documenter sur NoScript.

Merci encore pour vos interventions pertinentes. Vive le forum, vive la République !