Jump to content

Comment trouver et détruire des codes malveillants de notre boutique ?

capclem

By capclem
in Discussion générale

 Share

Recommended Posts

capclem Newbie

capclem

Posted
Posted

Bonjour,

En consultant mon compte google, je m'aperçois que depuis quelques semaines un très grands nombres de liens externes renvoient sur notre boutique : 24 941 en tout !!

Le gros soucis, c'est que ces liens génèrent des recherches et mots clés qui ne correspondent pas du tout à notre activité et entrainent une très forte chute des visiteurs Google et de notre position sur le moteur de recherche.

Ces liens sont du type :
shop/product.php/?bdoc=neutrogena 1 337
shop/product.php/?bdoc=ritas 1 336
shop/product.php/?bdoc=march+madness+bracket+update 1 303
shop/product.php/?bdoc=mary+shieler 1 302
shop/product.php/?bdoc=national+marathon 1 281
shop/product.php/?bdoc=donald+glover 1 271
shop/product.php/?bdoc=no+country+for+old+men+ending+explained 1 267
shop/product.php/?bdoc=persian+new+year+2010 1 266

et les sites concernés :
http://amtgardrivermoor.org/
http://artistsofetsy.com/ -
http://bicimport.com/index.php?act=viewProd&productId=73
http://bigbao-la-boutique.fr/
http://blog.badgad.net/?p=26
http://blog.yorkma.net/
http://board.hipglitter.com/index.php?board=3.0

etc…

Quelqu'un aurait-il une idée des causes et de solutions possibles ?
Ne s'agirait-il pas d'une attaque php ?

Espérant avoir été clair et vous remerciant de vos lumières !

Link to comment
Share on other sites
emraud Newbie

emraud

Posted
Posted

Commence par contacter Google via

https://www.google.com/webmasters/tools/spamreport?hl=fr

C'est l'adresse dans outils pour Webmaster > dénoncer un Spam.

Tout est indiqué : Je copie les infos demandées pour que tu prépares au mieux.

Rapport de spam
Aidez-nous à préserver la qualité des résultats de recherche Google

Nous travaillons sans relâche afin de vous proposer les résultats les plus pertinents pour chaque recherche que nous exécutons. Dans ce but, nous encourageons les gestionnaires de site à rendre leur contenu simple et compréhensible à la fois pour les utilisateurs et les moteurs de recherche. Malheureusement, tous les sites Web ne se soucient pas de l'intérêt des utilisateurs. Les pratiques consistant à tromper (spam) nos robots d'exploration du Web à l'aide de texte caché, de pages masquées (cloaking) ou de pages satellite (doorway) compromettent la qualité de nos résultats et dégradent la recherche pour tous les utilisateurs.

Nous désapprouvons les pratiques de spam. Par conséquent, nous vous demandons de nous signaler, à l'aide ce formulaire, tout résultat de recherche Google que vous considérez comme spam. Nous examinons en détail chaque rapport concernant les pratiques trompeuses et prenons les mesures appropriées lorsque nous détectons des cas d'abus avérés. Dans certains cas extrêmes, nous supprimons immédiatement les spammeurs de notre index afin qu'ils ne figurent plus dans nos résultats de recherche. Dans tous les cas, nous utilisons les données de chaque rapport de spam afin d'améliorer notre système de classement de sites et nos algorithmes de filtrage qui, au fil du temps, doivent améliorer la qualité de nos résultats.

Vos commentaires nous aident à améliorer nos services dans l'intérêt des utilisateurs du monde entier et nous vous remercions d'avoir pris le temps de nous contacter. En nous aidant à éliminer le spam, vous permettez à des millions de personnes d'économiser du temps, du travail et de l'énergie.

Page Web ou site concerné :

Requête exacte à l'origine du problème (copiez cette requête à partir du champ de recherche Google) :

Page de résultats Google concernée par le problème (copiez l'URL de cette page) :

Type(s) de problèmes (plusieurs réponses possibles) :
Texte ou liens masqués
Termes trompeurs et répétitifs
La page ne correspond pas à la description fournie par Google
Pages masquées
Redirections trompeuses
Pages satellites (doorway)
Site ou pages en double
Autre (veuillez préciser)

Informations supplémentaires :

Link to comment
Share on other sites
emraud Newbie

emraud

Posted
Posted

Tiens nous au courant des suites, STP.

De mon côté, c'est un annuaire belge qui scouate une partie de mes liens.

Spotter.be

Question à la TEAM et aux modo, je n'ai pas activer l'URL rewritte, ni duplic contain... Est-ce un moyen de se prémunir ou la problématique vient de notre hébergement... Je suis chez OVH.

Moins sérieusement (quoi que... ;) ), sinon ne reste-t-il qu'un petit dev Russe pour calmer ses importuns... ;)

Demande : Un modo pourait-il replacer ce post dans sa rubrique "référencement", car ce pb doit toucher d'autres utilisateurs de Prestashop. Merci.

Link to comment
Share on other sites
capclem Newbie

capclem

Posted
  • Author
Posted

Je suis allé fouiller un peu plus avec l'outil "analyser comme Googlebot" du compte Google.

Lorsque j'analyse la page d'accueil de la boutique, tout semble normal.

Par contre dès que j'analyse une page produit, j'ai ceci tout en bas du code :
J'ai une multitude de codes en bas de page, avec un défilé de liens (voir PJ)

J'ai fouillé dans les fichier PHP, mais pas réussi à trouver de solution…

Quelqu'un saurait-il où se trouve ces codes pour que je puisse les détruire ?

Merci d'avance !

googlebot.txt

Link to comment
Share on other sites
emraud Newbie

emraud

Posted
Posted

Bonsoir,

J'ai aussi effectué un googlebot sur un de mes produits scouaté par Spotter.be (Son of the bea...) en référencement google... mais RAS dans le code de ma boutique. En ce qui me concerne, je suis victime d'une opération SPAM. Par contre votre pb semble plus grave. Code malveillant possible.

Il va falloir faire le grand ménage... Et surtout comprendre l'origine... Module .... Faille de l'hébergeur... Mauvaise manip...

Tenez nous au courant.

Link to comment
Share on other sites
capclem Newbie

capclem

Posted
  • Author
Posted

Je vous remercie pour vos posts… j'en ai bien peur également :-S

Mais personne ne saurait où se cache ces fichus codes ?

Est-ce que la MAJ en version 1.2.5 redonnerait une virginité aux fichiers Presta ?

Vous remerciant par avance

Link to comment
Share on other sites
capclem Newbie

capclem

Posted
  • Author
Posted

Une petite idée et/ou aide serait la très bienvenue ! ;-)

- comment trouver les codes malveillants qui ont été inclus dans notre boutique et listant des url (cj pj message N°6) ?
- comment les éradiquer ?

- est-ce qu'une mise à jour vers la version 1.2.5 permettrait le nettoyage des fichiers Presta ?

Merci !

Link to comment
Share on other sites
capclem Newbie

capclem

Posted
  • Author
Posted

Bonjour Yannick,

Pour vous il s'agirait de liens inscrits en dur dans un des fichiers ? ou plutot d'un code PHP appelant ces mêmes url ?

Où aurais-je plus de chance de trouver, dans les fichiers php, js ou tpl ?

Merci !

Link to comment
Share on other sites
Fluorite Newbie

Fluorite

Posted
Posted

Re

Il pourrait s'agir effectivement d'un code script dans une de vos pages qui appelleraient effectivement tous les liens, maintenant ce n'est qu'une supposition.

votre code et vos liens sont en bas de page, peut-être faudrait'il effectuer des recherches dans les modules de bas de page, footer, etc, etc.
yannick

Link to comment
Share on other sites
emraud Newbie

emraud

Posted
Posted

Sous phpmyadmin, tu dois pouvoir faire une requète sql qui recherche un terme précis (nom du des sites non désiré par exemple) et scruter toutes les tables. Je ne connais pas trop sql mais cela doit être faisable.

Tu sauras si le nom des sites (url) qui pollue ton site sont en base ou non et où .

Il existe des tuto bien documenté sur le net pour faire une requete du style "cherche ce mot dans toutes les tables"... (ou cette expression...

Link to comment
Share on other sites
labelandco Newbie

labelandco

Posted
Posted

Bonjour,
je pense que vous avez le script : /js/pluginDetect.js
si c'est le cas je vous conseille de le retirer car si je ne me trompe c'est lui qui vous cree ces liens anarchiques.

Attention toutefois car quand on télécharge un fichier .js avec Firefox, il ajoute l’extension .txt. Chrome supprime le .js et ajoute .txt… donc vois si ce fichier n'est pas nommer en /js/pluginDetect ou en /js/pluginDetect.txt

ce script permet en principe une meilleure compatibilité avec le nav firefox3.0.11

dans le cas ou après son retrait cela ne fonctionnerais toujours pas, je pense qu'il faut voir si ce n'est pas un module qui serait quelque peu "bizarre"

Link to comment
Share on other sites
capclem Newbie

capclem

Posted
  • Author
Posted

J'ai remplacé ce fichier, je l'ai supprimé, rien y fait…

Par contre je m'aperçois que la structure du code faisant appel à cette liste interminable d'url est du type :

<style>#cera {display:none;}</style><font id="cera">



suivit des url.

le mot "CERA" n'est pas permanent.

Je suis totalement perdu sur ce coup !!! :gulp:

Link to comment
Share on other sites
capclem Newbie

capclem

Posted
  • Author
Posted

J'ai remis sur le serveur des anciennes sauvegarde de la boutique et AYE plus de liens et codes malveillants !!

Ce qui me chiffonne c'est de ne pas savoir exactement le fichier qui posait problème et surtout désormais de savoir comment sécuriser à fond ma boutique pour éviter que l'on s'y promène comme dans un moulin !

Toujours très preneur de vos suggestions !

et merci à tous pour votre aide !

Link to comment
Share on other sites
webhamster Newbie

webhamster

Posted
Posted

bonjour

Je ne sais pas si ça va vous aider... ?

j'utilise deux logiciels : crawltrack (http://www.crawltrack.net/fr/)
logiciel de stats et de blocage de tentatives de piratage.

et crawlprotect (http://www.crawlprotect.com/fr/)
CrawlProtect bloque les tentatives de connection à votre site en identifiant:
-les tentatives d'injection de code
-les tentatives d'injection SQL
-les visites de robot connus comme étant des "Badbots" (robot utilisés par les hackers)
-les aspirateurs de site
-les tentatives d'éxécution de commande shell

ensuite j'ai configuré le htaccess pour bloquer certaines ip et sites + ceci ci-dessous :

Options +FollowSymlinks
# interdit les liens extérieurs
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?monsiteweb\.com/.*$ [NC]
RewriteRule \.(gif|jpg|png|css|js|mp3|swf|xml|doc|sql|php|wml|txt)$ - [F,L]

Je dois vous paraître novice en prog, je le suis évidemment...
j'ai juste fait quelques recherches et n'ai jamais été embêté (pourvu que ça dure).

J'ai aussi utilisé le logiciel phpMyVisites et remarqué qu'il influait également sur ma machine (pc)
Il y avait d'ailleurs un article concernant la sécurité de ce logiciel, à savoir qu'il est utilisé pour lancer des attaques... :(
Je ne m'en sers plus et depuis, plus de problèmes... :)

J'espère que cette contribution peut vous être utile

cordialement

Link to comment
Share on other sites
webhamster Newbie

webhamster

Posted
Posted

re

> place le htaccess à la racine de ton site pour que ça couvre l'ensemble de ton site...
> place des fichiers index.html dans tous les dossiers où il n'y en a pas.

Le logiciel crawltrack t'indiquera les attaques et les requettes.
Tu le configures sur stopper et enregistrer (de quoi devenir parano lol).

Pour le logiciel phpMyVisites le probleme est le suivant : éviter les sites qui l'utilisent...

Bon dimanche :)

Link to comment
Share on other sites
capclem Newbie

capclem

Posted
  • Author
Posted

Bonjour,

Suite des aventures !

Donc, plus d'url trouvés par Googlebot… mais continuation de la course exponentielle des liens externes vers notre boutique : + de 30 000 à ce jour ! :-S

avec des choses du type
http://notre boutique/shop/product.php/?bdoc=neutrogena,http://www.vnfiction.com/viewstory.php?sid=2956&chapter=3,20/03/10
http://notre boutique/shop/product.php/?bdoc=neutrogena,http://www.vnfiction.com/viewstory.php?sid=3086,20/03/10
http://notre boutique/shop/product.php/?bdoc=neutrogena,http://www.maxibote.com/forum/teknik-servis-yazilim-donanim-sorunlari/flash-diskle-format-atmak-nasil-yapilir/?PHPSESSID=jon2emnlli30deepcr8l948167,20/03/10
[…]

HELP ! !

Link to comment
Share on other sites
labelandco Newbie

labelandco

Posted
Posted

je pense avoir trouver votre script qui pose probleme

après une série de test et d'analyse vous avez dans le repertoire "/js" le script "tools.js

adresse : http://www.votresite.com/shop/js/tools.js

il est considéré comme script espion.

je pense que le plus simple serait de desactiver l'ensemble des modules a part les modules de base et de les reinstaller un a un en attendant de voir leurs comportements

Link to comment
Share on other sites
capclem Newbie

capclem

Posted
  • Author
Posted

Suite de nos aventures…

Trouvé dans le dossier JS/Tinymce/Jscripts/tiny_mce/themes/advanced/skins/default/img
un tas de fichiers reprenant les mots clés permettant aux url externes de pointer sur notre boutique…
lorsqu'on lance un de ces fichiers = une page html bidon

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing
×
×
  • Create New...