« Site malveillant suspecté » : je vous raconte le parcours du combattant pour s’en défaire !

Sortons un peu des sujets habituels pour parler d’une expérience ma foi assez intéressante.

Nan mais allô, quoi : y’a pas que le SEO dans la vie.

 

Avoir son site soupçonné à tort de malveillance : une histoire longue et pénible !

Tout commence par un post du Juge :
Malveillance site sur Twitter

 

Un site hacké 2 ans plus tôt

Donc, pour la petite histoire, le site avait été piraté vers avril 2011 : une histoire assez sombre qui avait fait l’objet d’une procédure juridique apparemment assez lourde… bref, pas très joli.

Le site était resté inaccessible pendant plusieurs mois (oO) et avait bien évidemment totalement disparu des SERPs de Google.

Donc quand je suis arrivée dans l’histoire, c’était un peu tendu comme situation.

 

Restauration du site en urgence

Plusieurs actions ont été effectuées en urgence :

  • recréer un site rapidement (c’était de plus la pleine saison pour les clients)
  • changer d’hébergeur
  • prier

Le temps que big GG repasse par là et constate le changement, le site est revenu dans les SERP.

Ouf !

 

1 an et 1/2 plus tard, la situation n’est toujours pas claire

Depuis la restauration du site, à part un ou 2 clampins qui m’avaient éventuellement remonté un « warning sur Firefox » – ou je ne sais plus quoi que je n’avais de toute façon jamais réussi à reproduire – rien n’avait particulièrement attiré mon attention.

Le récent post de Julien sur Twitter m’a donc définitivement empêchée de continuer à faire l’autruche (dommage, ça me changeait du canard).

Je me suis donc lancée dans un parcours du combattant fort sympathique, que je me réjouis de partager avec vous…

 

site malfaisant

Duck et site malfaisants

 

Le parcours du combattant

Comment m’y prendre en sachant que je n’avais pas rencontré cette anomalie moi-même ?

J’ai donc commencé par checker les sources :

  • aucun fichier vérolé
  • aucune intrusion à priori

J’ai aussi testé via l’outil de Google, mais rien à signaler.

 

1- Demande de réexamen du site auprès de Google

J’ai donc demandé un réexamen du site dans Google Webmasters Tools en précisant ce problème de malveillance suspectée.

J’avoue que ça ne me ravissait pas, mais n’ayant pas de meilleure idée…

Et là, je finis par apprendre que le site « respecte les consignes Google aux webmasters ».

Mais super alors ^^ !

 

2- Je vais sur le forum d’aide aux webmasters

https://productforums.google.com/forum/#!forum/webmaster-fr

J’explique mon baratin, et là on me parle de l’hébergement mutualisé avec un voisinage moyen – une offre classique de mutualisé pro de chez OVH – et de WOT…

 

3- Je vais sur le forum de WOT

Sceptique et de plus en plus dépitée, je vais sur le forum de WOT (http://www.mywot.com/en/forum), dans la partie évaluation de sites.

J’explique alors mon affaire… en anglais pour obtenir une réponse… heu… en français.

Là ils me conseillent de demander une revalidation chez McAfee et PCTools et de revenir les voir après.

 

4- Je vais chez McAfee

Je m’éxécute donc et vais chez McAfee http://www.siteadvisor.com/sites/. J’essaie alors par tous les moyens de leur adresser un message (inscription forum, fichier de test), mais en vain.

Je trouve finalement une adresse mail qui fonctionne : support@siteadvisor.com.

Là, aucun problème – juste une petite relance au bout de quelques jours sans nouvelles – mais le site est finalement validé par eux.

 

5- Je vais chez PCTools

Je vais sur l’url http://www.browserdefender.com/site/ : le site est toujours suspect, j’envoie un rapport pour « classification incorrecte ».

Là, je reçois un mail qui me dit que je dois aller sur le forum http://www.pctools.com/forum/ si je veux plus d’info (car je ne suis pas cliente).

Je vais donc sur le forum, pleure pour avoir un accès, et raconte mon histoire habituelle…

Et là – comme c’est bien fait ! – ils me renvoient l’url initiale http://www.browserdefender.com/site/ pour poster ma demande…

Nan mais ce serait peut-êtyre moins long à la Sécurité Sociale, finalement…

Bref, le site finit par être validé, mais ça prend un certain pour que les mises à jour soient visibles (j’attends toujours d’ailleurs).

Edit du 18/03/2013 : le site est SAFE pour eux !

 

6- Je retourne fièrement sur WOT

Je retourne donc sur le forum de WOT, leur indique que McAfee et PCtools ont validé, et les supplie de faire de même (ou de me donner une corde).

Donc là, Ô miracle, ils valident le site ! 

Youpiiiiiiii !

7- Je recontacte Julien

C’est donc assez sûre de moi que je renvoie un message au Juge pour lui demander de bien vouloir rechecker le site, depuis son lointain chez-lui…

Et là, Tabernacle !

C’est encore pas bon : problème avec Tend Micro.

 

Nan mais allô, quoi !

(désolée, mais ça détend, après tout ce temps perdu)

 

Donc, pour Trend Micro, allez ici : http://global.sitesafety.trendmicro.com/index.php et envoyez un petit message…

Pour info, ils ont bien pris en compte ma demande… mais n’ont pas encore répondu.

Edit du 18/03/2013 : le site est également SAFE pour eux, alléluia !

Validation Trend Micro

 

 

La morale de l’histoire ?

La morale de l’histoire c’est que sortir un site d’une malveillance suspectée c’est long et c’est pénible… et c’est un peu sans fin.

Donc je pense que je finirai par l’en sortir, mais honnêtement, s’il existe un moyen simple et efficace qui m’aurait échappé, je veux bien qu’on me l’indique…

Edit du 18/03/2013 : J’attends la validation ultime du Juge, mais ça commence à sentir bon, là, non ?

 

L’explication du Duck

Ben rien, c’est juste un evil Duck pour un evil site : ça fait peur, non ?

 

Allez, je file me coucher pour être en forme au SEO Campus 2013 (ne vous étonnez pas si je ne suis pas hyper réactive ces 2 prochains jours).

 

30 Commentaires

  1. Le Juge says:

    Et oui – comme je te comprends je suis encore en train de me battre avec le site d'un de mes clients – hacké il y a un moment de cela – puis les mecs ont switché le hack en position "on" et mon site s'est vu affublé d'un superbe cloak qui m'a créée des pages fantomes a la volées (mais seulement pour GG) et des centaines de liens vers des sites de pr0n, vi4gr4 et autres joyeuseté – – bref on a viré le machin dégueulasse mais je suis toujours en trian de virer les pages fantomes et le site client n'a pour le moment pas récupéré sa visibilité – acquise de haute lutte et perdue en un claquement de doigt.

    Bon courage en tout cas et merci pour la citation!

  2. Emmanuelle says:

    Mais c'est moi qui te remercie !
    Et sinon, ça a l'air bien gai ton histoire… je te recommande la vidéo de Nabila et son fameux 'Nan mais allô' : rien de tel pour se détendre dans les moments les plus durs !
    Bon courage aussi et à bientôt pour un prochain test ^^

  3. Valentin says:

    La solution si simple et si évidente : fuir les CMS…
    Bien sûr cela coute plus cher, bien sûr c'est plus long à développer, mais c'est aussi un site unique avec une organisation unique et donc il faut un piratage adapté et ça c'est chiant pour Mr le pirate… Il aura plus vite fait d'attaquer les sites basés sur CMS Made Simple…
    Hébergement dédié + site maison = moins de soucis 😉

  4. Johanna says:

    Rhooo, je n'aimerai pas me retrouver dans ce genre de situation. J'ai eu un problème sur mon site, l'anti virus criait mais c'était un problème d'hébergement vite résolu et sans conséquences ! je dis ouf quand je lis ton article.

  5. BuzzMarketeur says:

    Eh oui c'est une galère sans nom pour sortir de ce genre de pénalité. J'en avais fait, dans une bien moindre mesure, les frais.

    Mon enquête m'avait permis de découvrir que la suspicion provenait de commentaires spammy (Auto-Approved). Le simple fait de les supprimer avait fait revenir mon site dans les Serps.

  6. Linkonexion says:

    Moi aussi je cumule les problèmes sur OVH depuis quelques semaines, je cherche des hébergements plus qualitatifs quitte à payer plus.

    En tout cas merci pour la vidéo, je vais de ce pas ratrapper mon retard en télé-réalité sur youtube!

  7. Sylvain S says:

    J'ai également eu le soucis avec le site d'une cliente (un piratage qui avait entraîné une redirection 301 vers un site jugé dangereux), et la demande de ré-examen est passée en une nuit, ce n'est donc pas de chance.

    Espérons que cela s'arrange prochainement vu toutes les démarches engagées..

  8. aurele says:

    Merci pour ce retour d'expérience sur la thématique du vérolage serveur.

    J'avoue avoir été légèrement déçu que tu ne trouves pas la réponse à la fin de ton article. Tu nous fais du suspens pendant 50 lignes et à la fin…

    Bah en fait je n’ai pas trouvé ! 😉

    Hésite à nous le dire si jamais tu arrives à trouver la solution !

  9. Dan B says:

    Le genre de truc qui tombe au mauvais moment et qui te fait perdre un temps fou…

    Par chance,je n'ai jamais eu de situations aussi complexes à gérer.

    De mon coté une simple demande de réexamen du site auprès de Google après avoir fait une purge sur le site en question a suffit.

    Merci pour ton retour d'expérience 😉

  10. Emmanuelle says:

    Merci à tous pour vos commentaires !

    @Valentin : Pourquoi pas ? As-tu des solutions à proposer ?

    @Linkonexion : C'est pas vraiment OVH qui est en cause, mais plutôt d'anciens fichiers qui sont toujours flagués alors qu'ils n'existent plus de puis longtemps sur le site.

    @Sylvain S : Juste une demande de réexamen, et ton site n'était plus taxé de malveillance ?
    Tu peux m'expliquer comment tu as fait stp, je n'ai jamais réussi à obtenir ça, pour ma part…

    @aurele : Ecoute, je crois que je tiens le bon bout, là… (enfin, je croise les doigts).

  11. Sylvain S says:

    @Emmanuelle : Oui, j'ai supprimé la redirection qui conduisait vers un site malveillant (correction du problème ayant entraîné le blocage donc) et je suis allé sur la page de blocage du site. Sur cette dernière se trouvait un lien "vous êtes le propriétaire de site", je l'ai suivi, et j'ai parcouru les diverses recommandations proposées sur cette page.

    Il était demandé de réclamer une demande de ré-examen à partir du compte Google Webmaster Tools, ce que j'ai fais. Le lendemain le site était à nouveau accessible normalement.

  12. Emmanuelle says:

    @Sylvain S : Ok, merci pour la précision.
    J'avais pourtant fait ça aussi (clic sur le lien "vous êtes le propriétaire de site"), mais ça ne m'a jamais proposé de'effectuer un ré-examen à partir de GWT….
    Mais de mon côté la page de blocage du site n'existait plus depuis 2 ans…

  13. puzzle says:

    Arf, une bien belle misère tout ça! Je compatis, tous ces efforts à faire ça doit ficher un sacré coup au moral quand on est en plein dedans. Merci en tout cas pour ton retour détaillé, j'espère que ça ne m'arrivera pas de sitôt, mais si jamais, je suivrai tes indications.

  14. Emmanuelle says:

    @puzzle : Merci !
    Bon, il y a peut-être d'autres méthodes plus simple, mais en tout cas – je croise les doigts – ça a l'air ok maintenant.

  15. assurance chien says:

    voila l'inconvénient des CMS, ils sont moins chers, ils sont plus simples pour les gens qui n'ont pas beaucoup aptitudes techniques, mais ils sont plus faciles à pirater. un site dont les codes ont été établis spécialement par un développeur, c'est mieux

  16. Emmanuelle says:

    @assurance chien : (charmant nom)
    Oui, oui, j'ai bien compris… J'y réfléchis.

  17. L'agence web de Strasbourg says:

    Mais quelle histoire ! J'ai un client qui s'était fait piraté et qui avait son site qui était passé en https. Donc le site n'était plus safe, des personnes sur WOT ont mis des avis à la con et il avait un full DC à cause du https. Je ne crois pas qu'il s'en est sorti au final huhu.

  18. imitateur says:

    Hello,
    Je salue ton courage et ta détermination dans cette affaire! Moi il m'est arrivé quelque chose d'assez similaire il y a deux ans, mais j'ai carrément lâché le morceau après quelques tentatives, pas assez motivé :/ (en même temps le site n'était pas très important non plus…)

  19. sustanon says:

    Vous avez soulevé quelques détails très fantastique , merci pour le poste . 😉 😉

  20. coupe courte says:

    En tout cas tu as eu de la chance qu'on t'ait prévenu de ces problèmes, car tu aurais pu rester un bon bout de temps dans l'ignorance et ça ça aurait été pas très sympa non plus. Perso je n'imaginais pas qu'il faille faire tout ça pour s'en sortir, c'est impressionnant! (de galères)

  21. Emmanuelle says:

    @imitateur : Merci !
    C'est vrai que c'était carrément sans fin ce truc…
    PS : Incroyable cette imitation de Freddie Mercury !!

    @coupe courte : Y'avait plus court apparemment (cf. messages précédents) mais ça n'avait pas marché pour moi.

  22. Euromillion says:

    Ça ne m'est jamais arrivé sur un site mais d'après ton histoire ça ne semble pas drôle du tout, un peu comme une pénalité qu'on se prendrait, et dont on ne sait pas par où commencer pour en sortir ^^

    En tous cas tu semble avoir fait le tour des solutions à adopter en cas de site considéré comme vérolé, merci pour le partage je garde ça sous le coude ça me servira sûrement dans le futur !

  23. Le Moigne says:

    Bonjour,
    Je dois travailler sur un site qui est piraté depuis des mois, , le site n'est pas ancien.
    Pour éviter tous ces problèmes, est ce que c'est une bonne solution de racheter un nouveau ndd?

  24. Emmanuelle says:

    @Le Moigne : Bonjour,
    En fait, ça dépend un peu de l'état des lieux, il me semble : si tu penses que ça prendra plus de temps d'assainir la situation que de repartir avec un nouveau NDD, pourquoi pas.
    En faisant les 301 qui vont bien, bien sûr.

    Personnellement, je pense que je préfèrerais identifier les causes du piratage pour les supprimer si possible…
    Mais je ne sais pas du tout à quoi tu te retrouves confronté, donc je ne peux pas tellement en dire plus…
    Bon courage en tout cas !

  25. Le Moigne says:

    ok merci ! Je pense que vais opter pour cette solution, et mettre une 301 sur l'ancien ndd.

  26. Joel says:

    Oui cest vraiment la galère quand ça arrive
    Voilà pourquoi il est capital de faire des sauvegardes régulièrement
    Pour ce qui est des Cms
    J’utilise joomla pour tous mes clients
    Il y a un minimum de choses à respecter évidemment pour éviter de se faire pirater
    Si le site est protégé correctement
    Et que les mises à jours sont faites régulièrement
    Il y a aucun problème
    Et Il y a de très bons programmes comme Aececure par exemple que j’utilise pour tous mes sites
    Sans parler de Cp et autres que tous sites dynamiques se servent aussi
    Joomla est le meilleurs Cms du marché à mon goût avev pleins de bon outils pour se protéger efficacement
    Pour Plus d info vous pouvez me contacter

    • Emmanuelle says:

      Enfin, là en l’occurrence, il s’agissait d’un site anciennement hacké.
      Donc rien à voir avec les sauvegardes, hein…
      Mais merci du conseil ^^

  27. julot says:

    Au lieu de commenter je veux poser une question;un ami a moi a vu un vidéo il m’a demande de lui télécharger ça et de lui envoyer mais on m’a demande mon compte Gmail, j’ai fait mais c’était sur xvideo, après je voulais me déconnecter mais on ne m’a pas donne un menu ou un endroit que je pourrais deconnecter pourriez-vous m’aider SVP.
    Merci

    • Emmanuelle says:

      Heu, non, aucune idée, désolée…
      Bon courage

  28. On est Hal says:

    Eh beh, pas évident comme affaire. J’ai effectivement opté pour la solution 301 de l’ancien vers le nouveau. Rapide et efficace.

Laissez-moi un commentaire ?

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.