Pb acces site via google : hack ?

[herbert]

J'ai probleme depuis hier en consultant les resultats de google sur les mots clés "histoire geo"

Mon site apparait bien toujours premier (histoire-geo.org), mais le titre du site qui apparait est celui d'une pub pour une pharmacie en ligne
http://www.google.fr/search?q=histoire+ ... =firefox-a

ça vient d'arfooo ? Faille ? que se passe-t-il ?

Herb

[Arf]

Bonjour,

La page de ton annuaire est clocké.
En gros à Google, il présente une page différente.
Si tu regardes ta page en cache sur Google, elle est légèrement différente...

Savoir si ça vient d'Arfooo, dur à dire sans fouiller dans les logs.
ça peut être une faille présent sur le serveur, un virus sur ton pc et ton client FTP même...

[herbert]

salut Arf,

Pas de virus sur le pC, j'ai verifié, tous mes softs sont à jour.

J'ai un log, mais difficile de trouver sans savoir ce qu'on cherche !

Est-ce qu'il y a des sites qui traitent de ce type de probleme ? Je n'ai pas l'impression qu'il y a ait eu un acces frauduleux à mon hébergement, mais que les choses se passent au niveau du domaine, comme un détournement du nom vers un serveur "pirate", au lieu de pointer vers le serveur de mon hébergeur (ace-host, aux states)

Herb

[herbert]

[Arf]

Ok, bon bah vous pouvez classer votre hébergeur dans la catégorie incompétent.

Dans le code source de l'annuaire, la personne qui est passé par la faille, non identifié, ce qui est embêtant, a ajouté du code pour présenter une version différente à GoogleBot.

Si vous utilisez mozilla et que vous ajoutez le plugin user agent, en sélectionnant google bot 2.1, et que vous visitez votre site alors vous verrez la version hacké...

Bref si l'hébergeur ne sait pas ça, vous pouvez vous posez des questions sur leurs compétences.

[herbert]

Salut arf,

tu as raison, support technique à) coté de la plaque (ils ne voulaient pas s'embeter certainement) : retour à la normale en rechargeant le fichier index.php à la racine.



herb

[jalbalo]

Salut, ah wai c'est bizarre mais quand on clic dessus ca emmène bien a ton site c'est que le titre qui est changer pour l'hébergement j'ai était embéter partout il n'y as que chez ovh que mes sites on pas de problème n'empeche il est douer le mec qui a fait ca dommage qu'il nous aident pas au lieux de te hacker

[herbert]

tu as raison, support technique à) coté de la plaque (ils ne voulaient pas s'embeter certainement) : retour à la normale en rechargeant le fichier index.php à la racine.
Mais la faille existe probablement toujours, et ça peut se reproduire :


pour info, le hackeur a placé un include dans le index.php qui pointait vers un repertoire (créé par lui !) contenant 3 fichiers
DIST/check.php : contient les données erronés pour google bot
DIST/oldsait.htm : le faux index avec les pubs pour medicaments
DIST/php.ini : avec un register_globals = On

QUe faire ? j'ai changé les pw ftp, je cherche dans le log ftp

[herbert]

Question : y a-t-il un moyen de limiter l'acces FTP à une seule IP ?

A+ et merci à ARF pour son eclairage

Herb

[Arf]

ça peut provenir d'un virus / trojan que t'as chopé et qui récupère les password de tes ftps...
Donc il faut faire attention aussi de ce côté là!