Salut.
 
Il m'arrive un truc assez étonnant :  j'ai créé un site récemment, hébergé chez OVH.
Je l'ai mis en ligne il y a 2 semaines environ. Et une fois tapé sur google le nom de mon
domaine, si je clique sur mon site qui apparaît bien en 1er, je suis renvoyé vers...  
une page en provenance de Chine qui envoie un antivirus pourri (Antivirus Plus) !!!?!!!!
 
Bref tous mes visiteurs tomberont sur cette page à la c...
( qui est : http://biqusu.cn/?wm=70106 )  <- j'ai tapé dans google cette adresse pour  
voir si d'autres avaient eu cette infection, mais nada...
 
 
J'ai contacté OVH qui est dans l'incapacité de me donner une réponse.  
Vous auriez déjà vu ce genre de problème ? Auriez-vous une vague idée de ce que ça peut être ?

Ca donne quoi sur d'autres moteurs de recherche ?

Sur altavista : rien d'anormal
Sur Yahoo : antivirus (!!). Si je clique sur le cache, je retrouve ma page à peu près normale... (Il y a des "span" du CSS, un peu bizarres, qui ressurgissent)

Comment tu as référencé ton site ?

Je n'ai rien référencé du tout...

J'ai contacté OVH mais ils ont pris la fuite, réponse vague et évasive, sans rapport avec
la question.
 
Ils m'avaient dejà contacté il y a 1 mois pour un truc bizarre : selon eux mon site était piraté
et qq'un avait accès à mon code, etc... Ils m'avaient demandé de changer mon code  
(ce que j'avais fait mais je trouvais ça tellement délirant que j'avais crû à une plaisanterie...)

Euh... ils t'ont contacté il y a un mois alors que tu as mis ton site en ligne il y a deux semaines ??

Oui. Mon site était en cours de réalisation...
 
 
 
Suis allé voir mes logs, et je vois cette info presque tous les jours :
 
[Sat Aug 01 12:11:28 2009] [error] [client 66.249.65.81] [host www.monsite.fr] File does not exist: /homez.116/monsite/www/robots.txt
[Sat Aug 01 19:07:07 2009] [error] [client 89.225.198.172] [host www.monsite.fr] File does not exist: /homez.116/monsite/www/favicon.ico

C'est juste les fichiers robot et favicon, rien d'anormal.
 
Sinon, c'est peut-être un site qui recopie les mots-clé et le contenu des sites, pour justement rediriger les googleurs sur leur site plein de virus et autres joyeusetés.
Tu as recherché quoi sur google pour arriver sur ce site ? (en MP si tu préfère pas mettre ton site ici)

Ok je t'envoie par mp...

Voilà qui est étonnant... Je suis allé une fois sur ton site, puis j'ai fait la fameuse recherche sur Google. Le lien vers ton site est violet (indiquant que je l'ai déjà visité) mais si je clique dessus il me renvoie vers le site chinois.

L'adresse de ton site résoud en 213.xxx.xx.2 (vérifie de chez toi), c'est bien l'IP de ton hébergement ?

Bon, j'ai du nouveau. En fait ça se base sur le referer indiqué lors de la requête HTTP. Si le referer contient "google" ou "yahoo" le site est détourné. En revanche, rien pour les mots-clé "altavista", bing" et "exalead".  
Je penche pour un gus qui squatte le même serveur OVH que toi (puisque c'est du mutualisé apparemment) , qui récupère les requêtes qui arrivent et répond avant toi. Quelque chose du genre. Pousse du côté d'OVH pour savoir ce qui se passe.

Ok je te remercie c'est sympa.  
Je transmets ces infos à OVH...

J'avais pas tilté... tu avais modifié quoi ? Vérifie que ton code n'ait pas été modifié par un truc genre "if (referer=google) then redirect()". Ca vient pas forcément d'un autre compte, tout compte fait.

Du nouveau ?

Salut.
 
 
Je reviens de vacances. Juste pour dire que je suis toujours infecté par ce je ne sais quoi.
J'ai recontacté OVH...
 
PS : j'avais un rep, "memo", qui, quand je cliquais sur  www.monsite.fr/memo/index.html ,
me donnait en bas de page cette adresse :  
http://www.kadr2.ru/Gremuchie_zmei-film-1336   des russes !
 
Complètement ahurissant  
 
J'ai viré tout le répertoire, ainsi que le module joomla que j'avais installé il y a 1 mois.
C'est peut-être de ce joomla que l'infection était venue ?... A suivre...

As-tu vérifié dans ton code qu'il n'y ait pas de redirection en fonction du referer ?

 
ruliane : j'ai bien regardé, et je ne vois aucune information dans mes fichiers en rapport avec ce
"totalspywarescan1.com" ou ce "scan1" voire même "scan"  
 
Il y a 3 solutions :
- Soit ca vient de joomla, dont j'avais téléchargé un répertoire (en vue de créer une boutique). Du coup
je l'ai complètement désinstaller mais peutêtre que si ça vient de là ça ne change rien, qu'il faut plus de temps...
- Soit de mon logiciel Xara, à partir duquel j'ai créé ce mini-site (et qui crée qq fichiers particuliers
pour gérer toute la structure du site) -> Mais là j'ai vérifié et je ne vois pas d'info lié au lien bizarre
- Soit mon site a été "piraté" directement sur google.
 
 
OVH s'en lave un peu les mains en m'écrivant :
 
Il s'agit d'un problème de script, c'est un problème de votre côté pour lequel nous ne pouvons pas intervenir pour vous aider.                          
Merci de bien entrer en contact avec google, en demandant de retirer votre site de la liste des sites malveillants. ( )
Je vous remercie de l'intérêt que vous portez à OVH. Nous restons à votre disposition pour tout complément d'information.
Support OVH
 
Je vais les contacter plutôt pour qu'il jetent un oeil, avant quoi que ce soit...

Je crois qu'ils n'ont pas tout à fait compris le sens du problème ! Google n'y est en rien dans l'affaire. Le problème est peut-être de ton côté mais si tu dis n'avoir rien trouvé... Tiens, tu peux essayer de télécharger tout le contenu de ton site (FTP, BdD, ...) et l'envoyer sur un autre hébergeur et regarder si le problème persiste. Pour tester en fonction du referer (sans attendre que Google référence quoi que ce soit) l'extension RefControl est pas mal. Si tu veux que je teste c'est possible aussi. Tu peux aussi uploader un autre site puis voir si la redirection est toujours là.

Salut.
 
Me revoici avec ce @@@@ problème.
 
J'ai vidé ce soir mon site. Je suppose qu'il faut que j'attende environ 3-4 jours, le temps que google "oublie" mes données, pour voir si le pirate est toujours en place ?
 
Pour le moment, bien que vide, la redirection google renvoie toujours vers ce maudit antivirus russe ou chinois...

Ca serait mieux si on avait le lien. On pourrait vérifier la requête sur Google et voir ton code.

Le problème apparaît aussi sur Yahoo et provient du référant. Y'a-t'il des pages sur ton serveur, car avec l'url, j'obtiens une page Apache de listage du répertoire.

Non j'ai tout vidé (enfin j'espere) il y a 4 jours.  
 
Me disant que j'allais laisser reposer 3-4 jours pour que Goggle digère l'info (je sais pas si ça change grand chose en fait. Je suppose que si c'est référencé, c'est référencé ?)

QU'entends-tu exactement par "référant" stp ?

L'url de provenance. Cette information est stockée dans les infos HTTP et Opera possède uen fonction pour supprimer le référant. Si tu testes avec et sans cette option, tu vois que la redirection n'est pas faite que l'option est active, ce qui explique que tu n'aies pas le problème est tapant directement l'url. Revérifie sur ton FTP s'il y a des fichiers.  
Apparemment, c'est du mutualisé.

Oui bien vu tout ça..  
J'ai réexpédié un msg à OVH avec ces infos-là, merci (ils sont dans le paté, ils me demande de réexpliquer le probleme.. j'ai changé d'interlocuteur apparemment...)

Ils n'ont pas l'air très réveillés chez OVH... En tout cas ça ne vient pas du code puisque même sans aucune page le problème est toujours présent.

Oui clairement. Ca semble venir des fichiers qu'ils ont eux-mêmes créés lors de la création du compte mutualisé.
 
Mais dans ce cas pourquoi ils n'ont pas cherché à verifier ça ? C'est le B-A-BA.

Mon premier message à OVH (qui datait du 31 juillet) :

 
 
Je m'absente 15j en vacances, donc obligé de me réexpliquer il y a 10 j   +    :
 

 
 
 
-> Un message OVH reçu hier :
 

 
 
 
 
 
 
 
(mais comment je fais pour rester aussi cool ?) :

 
 
Eux ce matin :

 
Purée...      

PEux-tu me donner l'adresse de ton compte SANS le domaine (l'url OVH quoi) ? Le domaine a été acheté chez OVH a priori ?

Super le support OVH, semble ultra performant... Et puis les fautes, faut arrêter...
 
Insiste quand même, tu finira peut-être par tomber sur quelqu'un de compétent. Précise dans chaque mail l'historique, qui tu as eu et ce que tu as déjà essayé. Et croise les doigts aussi ^^

Comme le premier ontact que j'ai eu date du 31 juillet, et qu'il y a eu les vacances entretemps, je pense que leurs équipes ont tourné. Donc me suis pas trop formalisé... Mais bon c'est pas difficile pour eux de relire le message du départ... Enfin bref.
 
 
Sinon réponse de ce matin :

 
 
Je pense qu'elle a raison mais que dois-je faire ?
 
 
Attendre x jours le temps que leurs pages (chez google et yahoo) "éliminent" les infos liées à mon site, puis remettre celui-ci en ligne ?
 
Ou bien dois-je contacter les 2 sites google et yahoo pour qu'ils interviennent manuellement ?
 
 
J'avais déjà contacté google bien sûr, il y a 3 semaines, mais 0 réponse...

Et quand on essaye d'aller sur ton site en tappant directement l'url dans le navigateur mais en mettant google en referer, il t'affiche bien un site vide ?

En fait, le problème ne vient ni de Google ni de Yahoo, car si on va sur ton site en envoyant un faux referer (contenant "google" ou "yahoo" ) on tombe sur le site douteux.

Donc à mon avis c'est bien un problème chez OVH

Réexplique leur le truc en leur parlant du referer.

Bon je veux pas être méchant, mais la Pauline...  
Etre dans un service d'aide en ligne d'un hébergeur, et dire ne rien savoir sur les moteurs de recherche, c'est... heu.. (Bon les 2 précédents, c'était la même chose)
 
 
Vous pouvez m'expliquer le coup du referer ? De quoi s'agit-il ? (je file sur google me renseigner...)
 
 
Edit : ok je pense avoir (à peu près) compris. Mais ce referer, c'est bien une page de google ou de yahoo au final. Non ? Car cette page qui contient le lien, c'est eux qui le créent lors de leur référencement !  (ou alors j'ai mal saisi..)

Bon, voilà ce que je viens de faire :
 
 
 
1. J'ai créé un petit fichier sous word (au format txt) intitulé robots.txt
Avec ça comme infos :
 
User-agent: *
Disallow: /
 
2. J'ai mis le fichier en ligne, à la racine du site
 
3. J'attends 3-4 j, et je remets en ligne le site en entier.
 
 
Qu'en pensez-vous ?  
 
 
Mes sources :
http://www.google.com/support/webm [...] wer=156412
http://www.google.com/support/webm [...] wer=156449