Comment trouver et détruire des codes malveillants de notre boutique ?

[capclem]

Bonjour,

En consultant mon compte google, je m'aperçois que depuis quelques semaines un très grands nombres de liens externes renvoient sur notre boutique : 24 941 en tout !!

Le gros soucis, c'est que ces liens génèrent des recherches et mots clés qui ne correspondent pas du tout à notre activité et entrainent une très forte chute des visiteurs Google et de notre position sur le moteur de recherche.

Ces liens sont du type :
shop/product.php/?bdoc=neutrogena 1 337
shop/product.php/?bdoc=ritas 1 336
shop/product.php/?bdoc=march+madness+bracket+update 1 303
shop/product.php/?bdoc=mary+shieler 1 302
shop/product.php/?bdoc=national+marathon 1 281
shop/product.php/?bdoc=donald+glover 1 271
shop/product.php/?bdoc=no+country+for+old+men+ending+explained 1 267
shop/product.php/?bdoc=persian+new+year+2010 1 266

et les sites concernés :
http://amtgardrivermoor.org/
http://artistsofetsy.com/ -
http://bicimport.com/index.php?act=viewProd&productId=73
http://bigbao-la-boutique.fr/
http://blog.badgad.net/?p=26
http://blog.yorkma.net/
http://board.hipglitter.com/index.php?board=3.0

etc…

Quelqu'un aurait-il une idée des causes et de solutions possibles ?
Ne s'agirait-il pas d'une attaque php ?

Espérant avoir été clair et vous remerciant de vos lumières !

[yaya]

chez qui tu es hebergé

[capclem]

Chez phpnet.org

[emraud]

Commence par contacter Google via

https://www.google.com/webmasters/tools/spamreport?hl=fr

C'est l'adresse dans outils pour Webmaster > dénoncer un Spam.

Tout est indiqué : Je copie les infos demandées pour que tu prépares au mieux.

Rapport de spam
Aidez-nous à préserver la qualité des résultats de recherche Google

Nous travaillons sans relâche afin de vous proposer les résultats les plus pertinents pour chaque recherche que nous exécutons. Dans ce but, nous encourageons les gestionnaires de site à rendre leur contenu simple et compréhensible à la fois pour les utilisateurs et les moteurs de recherche. Malheureusement, tous les sites Web ne se soucient pas de l'intérêt des utilisateurs. Les pratiques consistant à tromper (spam) nos robots d'exploration du Web à l'aide de texte caché, de pages masquées (cloaking) ou de pages satellite (doorway) compromettent la qualité de nos résultats et dégradent la recherche pour tous les utilisateurs.

Nous désapprouvons les pratiques de spam. Par conséquent, nous vous demandons de nous signaler, à l'aide ce formulaire, tout résultat de recherche Google que vous considérez comme spam. Nous examinons en détail chaque rapport concernant les pratiques trompeuses et prenons les mesures appropriées lorsque nous détectons des cas d'abus avérés. Dans certains cas extrêmes, nous supprimons immédiatement les spammeurs de notre index afin qu'ils ne figurent plus dans nos résultats de recherche. Dans tous les cas, nous utilisons les données de chaque rapport de spam afin d'améliorer notre système de classement de sites et nos algorithmes de filtrage qui, au fil du temps, doivent améliorer la qualité de nos résultats.

Vos commentaires nous aident à améliorer nos services dans l'intérêt des utilisateurs du monde entier et nous vous remercions d'avoir pris le temps de nous contacter. En nous aidant à éliminer le spam, vous permettez à des millions de personnes d'économiser du temps, du travail et de l'énergie.

Page Web ou site concerné :

Requête exacte à l'origine du problème (copiez cette requête à partir du champ de recherche Google) :

Page de résultats Google concernée par le problème (copiez l'URL de cette page) :

Type(s) de problèmes (plusieurs réponses possibles) :
Texte ou liens masqués
Termes trompeurs et répétitifs
La page ne correspond pas à la description fournie par Google
Pages masquées
Redirections trompeuses
Pages satellites (doorway)
Site ou pages en double
Autre (veuillez préciser)

Informations supplémentaires :

[capclem]

Merci beaucoup pour cette réponse complète et rapide !

Je regarde ça de très près !

Bonne journée !

[emraud]

Tiens nous au courant des suites, STP.

De mon côté, c'est un annuaire belge qui scouate une partie de mes liens.

Spotter.be

Question à la TEAM et aux modo, je n'ai pas activer l'URL rewritte, ni duplic contain... Est-ce un moyen de se prémunir ou la problématique vient de notre hébergement... Je suis chez OVH.

Moins sérieusement (quoi que... ), sinon ne reste-t-il qu'un petit dev Russe pour calmer ses importuns...

Demande : Un modo pourait-il replacer ce post dans sa rubrique "référencement", car ce pb doit toucher d'autres utilisateurs de Prestashop. Merci.

[capclem]

Je suis allé fouiller un peu plus avec l'outil "analyser comme Googlebot" du compte Google.

Lorsque j'analyse la page d'accueil de la boutique, tout semble normal.

Par contre dès que j'analyse une page produit, j'ai ceci tout en bas du code :
J'ai une multitude de codes en bas de page, avec un défilé de liens (voir PJ)

J'ai fouillé dans les fichier PHP, mais pas réussi à trouver de solution…

Quelqu'un saurait-il où se trouve ces codes pour que je puisse les détruire ?

Merci d'avance !

googlebot.txt

[Julien Breux]

J'ai comme l'impression que votre boutique contient un code malveillant.

[emraud]

Bonsoir,

J'ai aussi effectué un googlebot sur un de mes produits scouaté par Spotter.be (Son of the bea...) en référencement google... mais RAS dans le code de ma boutique. En ce qui me concerne, je suis victime d'une opération SPAM. Par contre votre pb semble plus grave. Code malveillant possible.

Il va falloir faire le grand ménage... Et surtout comprendre l'origine... Module .... Faille de l'hébergeur... Mauvaise manip...

Tenez nous au courant.

[capclem]

Je vous remercie pour vos posts… j'en ai bien peur également :-S

Mais personne ne saurait où se cache ces fichus codes ?

Est-ce que la MAJ en version 1.2.5 redonnerait une virginité aux fichiers Presta ?

Vous remerciant par avance

[capclem]

Une petite idée et/ou aide serait la très bienvenue ! ;-)

- comment trouver les codes malveillants qui ont été inclus dans notre boutique et listant des url (cj pj message N°6) ?
- comment les éradiquer ?

- est-ce qu'une mise à jour vers la version 1.2.5 permettrait le nettoyage des fichiers Presta ?

Merci !

[Fluorite]

Salut

Ouvrez votre logiciel de traitement de txt ou de code, et faite une recherche avec les mots suivant

sdthon.onelittlewish.net

forums.wanderinghorde.com

etc etc ;-)

bye
Yannick

[capclem]

Bonjour Yannick,

Pour vous il s'agirait de liens inscrits en dur dans un des fichiers ? ou plutot d'un code PHP appelant ces mêmes url ?

Où aurais-je plus de chance de trouver, dans les fichiers php, js ou tpl ?

Merci !

[Fluorite]

Re

Il pourrait s'agir effectivement d'un code script dans une de vos pages qui appelleraient effectivement tous les liens, maintenant ce n'est qu'une supposition.

votre code et vos liens sont en bas de page, peut-être faudrait'il effectuer des recherches dans les modules de bas de page, footer, etc, etc.
yannick

[capclem]

Oki, merci

Est-ce que la mise à jour vers 1.2.5 pourrait avoir un effet bénéfique avec les nouveaux fichiers Presta, où est-ce que la MAJ reprend les fichiers Presta déjà existants ?

[capclem]

UP

Est-ce que les fichiers Presta sont nouveaux lors d'une MAJ de 1.1.0.5 à 1.2.5 ?

Merci!

[emraud]

Normalement, il s'agit d'une nouvelle installation.

Toutefois, il faut s'assurer que les codes ne sont pas stocké dans la BDD car en cas de restor, ils pourraient être réimplanté.

[capclem]

grrrrrrrrr

Y-a-t-il un moyen de contrôler la BDD ?

[emraud]

Sous phpmyadmin, tu dois pouvoir faire une requète sql qui recherche un terme précis (nom du des sites non désiré par exemple) et scruter toutes les tables. Je ne connais pas trop sql mais cela doit être faisable.

Tu sauras si le nom des sites (url) qui pollue ton site sont en base ou non et où .

Il existe des tuto bien documenté sur le net pour faire une requete du style "cherche ce mot dans toutes les tables"... (ou cette expression...

[capclem]

Bon, pour le moment rien trouvé dans la BDD, c'est déjà une bonne nouvelle :smirk:

[labelandco]

Bonjour,
je pense que vous avez le script : /js/pluginDetect.js
si c'est le cas je vous conseille de le retirer car si je ne me trompe c'est lui qui vous cree ces liens anarchiques.

Attention toutefois car quand on télécharge un fichier .js avec Firefox, il ajoute l’extension .txt. Chrome supprime le .js et ajoute .txt… donc vois si ce fichier n'est pas nommer en /js/pluginDetect ou en /js/pluginDetect.txt

ce script permet en principe une meilleure compatibilité avec le nav firefox3.0.11

dans le cas ou après son retrait cela ne fonctionnerais toujours pas, je pense qu'il faut voir si ce n'est pas un module qui serait quelque peu "bizarre"

[capclem]

J'ai remplacé ce fichier, je l'ai supprimé, rien y fait…

Par contre je m'aperçois que la structure du code faisant appel à cette liste interminable d'url est du type :

<style>#cera {display:none;}</style><font id="cera">

suivit des url.

le mot "CERA" n'est pas permanent.

Je suis totalement perdu sur ce coup !!! :gulp:

[capclem]

J'ai remis sur le serveur des anciennes sauvegarde de la boutique et AYE plus de liens et codes malveillants !!

Ce qui me chiffonne c'est de ne pas savoir exactement le fichier qui posait problème et surtout désormais de savoir comment sécuriser à fond ma boutique pour éviter que l'on s'y promène comme dans un moulin !

Toujours très preneur de vos suggestions !

et merci à tous pour votre aide !

[webhamster]

bonjour

Je ne sais pas si ça va vous aider... ?

j'utilise deux logiciels : crawltrack (http://www.crawltrack.net/fr/)
logiciel de stats et de blocage de tentatives de piratage.

et crawlprotect (http://www.crawlprotect.com/fr/)
CrawlProtect bloque les tentatives de connection à votre site en identifiant:
-les tentatives d'injection de code
-les tentatives d'injection SQL
-les visites de robot connus comme étant des "Badbots" (robot utilisés par les hackers)
-les aspirateurs de site
-les tentatives d'éxécution de commande shell

ensuite j'ai configuré le htaccess pour bloquer certaines ip et sites + ceci ci-dessous :

Options +FollowSymlinks
# interdit les liens extérieurs
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?monsiteweb\.com/.*$ [NC]
RewriteRule \.(gif|jpg|png|css|js|mp3|swf|xml|doc|sql|php|wml|txt)$ - [F,L]

Je dois vous paraître novice en prog, je le suis évidemment...
j'ai juste fait quelques recherches et n'ai jamais été embêté (pourvu que ça dure).

J'ai aussi utilisé le logiciel phpMyVisites et remarqué qu'il influait également sur ma machine (pc)
Il y avait d'ailleurs un article concernant la sécurité de ce logiciel, à savoir qu'il est utilisé pour lancer des attaques...
Je ne m'en sers plus et depuis, plus de problèmes...

J'espère que cette contribution peut vous être utile

cordialement

[capclem]

Merci beaucoup pour ces informations qui me seront très utile en effet !

J'avais également lu des problèmes de sécurité en relation avec phmyvisit.

Bon dimanche !

[webhamster]

re

> place le htaccess à la racine de ton site pour que ça couvre l'ensemble de ton site...
> place des fichiers index.html dans tous les dossiers où il n'y en a pas.

Le logiciel crawltrack t'indiquera les attaques et les requettes.
Tu le configures sur stopper et enregistrer (de quoi devenir parano lol).

Pour le logiciel phpMyVisites le probleme est le suivant : éviter les sites qui l'utilisent...

Bon dimanche

[capclem]

Bonjour,

Suite des aventures !

Donc, plus d'url trouvés par Googlebot… mais continuation de la course exponentielle des liens externes vers notre boutique : + de 30 000 à ce jour ! :-S

avec des choses du type
http://notre boutique/shop/product.php/?bdoc=neutrogena,http://www.vnfiction.com/viewstory.php?sid=2956&chapter=3,20/03/10
http://notre boutique/shop/product.php/?bdoc=neutrogena,http://www.vnfiction.com/viewstory.php?sid=3086,20/03/10
http://notre boutique/shop/product.php/?bdoc=neutrogena,http://www.maxibote.com/forum/teknik-servis-yazilim-donanim-sorunlari/flash-diskle-format-atmak-nasil-yapilir/?PHPSESSID=jon2emnlli30deepcr8l948167,20/03/10
[…]

HELP ! !

[Fluorite]

Salut

Arf ce n’est vraiment pas cool.

Fait des recherches sur google sur les spams de referer peut-être que cela va t'aider.
bye
Yannick

[labelandco]

je pense avoir trouver votre script qui pose probleme

après une série de test et d'analyse vous avez dans le repertoire "/js" le script "tools.js

adresse : http://www.votresite.com/shop/js/tools.js

il est considéré comme script espion.

je pense que le plus simple serait de desactiver l'ensemble des modules a part les modules de base et de les reinstaller un a un en attendant de voir leurs comportements

[Fluorite]

Re
peut-être bien
bye yannick

[capclem]

Suite de nos aventures…

Trouvé dans le dossier JS/Tinymce/Jscripts/tiny_mce/themes/advanced/skins/default/img
un tas de fichiers reprenant les mots clés permettant aux url externes de pointer sur notre boutique…
lorsqu'on lance un de ces fichiers = une page html bidon

[Gilles6688]

Bonjour,

Problème identique sur mon site, mais comment trouver le dossier en question?

Merci

[Mediacom87]

il y a une heure, Gilles6688 a dit :

Bonjour,

Problème identique sur mon site, mais comment trouver le dossier en question?

Merci

1- regarder les fichiers modifié dans la page Informations de votre backoffice.

2- utiliser le Cleaner proposé par Eolia.

3- avoir un hébergeur avec un WAF performant

https://www.mediacom87.fr/securite-prestashop-proactive-ou-corrective/

[Gilles6688]

Bonjour,

1- Avec mon Mutu OVH je n'arrive pas à accéder à ma page information!!!! 😌

2- Je l'utilise et je n'ai rien en rouge, OUF...

3- Ovh bref

[Mediacom87]

il y a 33 minutes, Gilles6688 a dit :

3- Ovh bref

Sans commentaire.

[Gilles6688]

Comment chercher plus loin merci pour votre aide précieuse?

 

[Gilles6688]

[Gilles6688]

Effectivement j'avais aussi 3 autres fichier que j'ai modifiés...