Google et la (fausse) détection de code malveillant

Dertron · 24 Novembre 2011

Salut,

J'aimerais savoir si vous avez déjà entendu parler d'un cas similaires... Mardi, Google a trouvé un "code malveillant" sur notre site internet biosense.fr. D'où blocage de notre compte AdWords, et surtout renvoi de l'information aux navigateurs Firefox et Chrome qui affichaient systématiquement un message d'avertissement (site dangereux pour votre PC, n'y allez pas). Normal en soi. Sauf qu'à posteriori, notre site internet n'avait rien...
Explications. Direction les outils pour webmaster pour voir d'où vient le problème : il s'agirait d'un javascript "malicieux" repéré sur toutes nos pages. Sauf que en regardant de près, impossible de trouver le moindre problème sur notre site internet.

Voici ce que j'ai fait :
- vérification de tous les fichiers sources du serveur servant à afficher les pages (html, php, js, css...) : aucun code malveillant trouvé (iframes, script, etc.)
- aucun fichiers modifiés sur notre serveur sur la période d'infection (avec la commande find)
- aucune connexion (ftp ou ssh) sur notre serveur dédié non authentifiée
- aucune trace suspecte sur les fichiers log (apache, ssh, ftp, ssl, suphp...)
- vérification DNS du domaine biosense.fr avec des outils comme http://www.dnscolos.com : biosense.fr pointe bien vers notre serveur dédié.

Nous avons par ailleurs testé notre site avec différents outils de détection : aucun n'a trouvé de problème sur notre site, hormis l'avertissement du blacklistage par Google.
Voici les outils utilisé :
- McAfee site advisor
- Unmask Parasites http://www.unmaskparasites.com/
- http://sitecheck.sucuri.net/scanner/
- http://soswebscan.com
- ...

La seule explication au problème rencontré serait une erreur sur les DNS (en consultant biosense.fr, Google aurait été redirigé vers un autre serveur). Mais les DNS du domaine biosense.fr sont gérées par la société OVH qui n'a décelé aucun problème.

Donc après toutes ses vérifications, j'ai finalement demandé l'examen par Google pour supprimer le blacklistage, en croisant les doigts car je n'avais rien corrigé (n'ayant rien trouvé...) Google nous a renvoyé un mail 8 heures plus tard pour nous dire que tout était rentré dans l'ordre. En attendant, notre site s'est retrouvé coupé du monde pendant presque 2 jours : adwords bloqué, référencement naturel bloqué, et surtout consultation bloquée.

Le problème soulevé, c'est que Firefox utilise les données Google pour déterminer si un site est dangereux. Et fait donc confiance à une société commerciale pour une information purement technique. Hier, Google avait le pouvoir de supprimer 90% du trafic d'un site en le faisant disparaître de sa base. Aujourd'hui, Google va plus loin en ayant le pouvoir d'empêcher que l'on consulte un site. On pourrait imaginer qu'un jour les banques demanderont à Google son avis pour accepter le paiement d'un client :roll: De plus en plus fort...

:?: Qu'en pensez-vous, avez vous des exemples similaires de fausses détection de code malveillant par Google ?

PS : on ne sait jamais, il y a peut-être vraiment un code malveillant sur mon site, mais en tout cas Google ne le retrouve plus et tant mieux !

WebRankInfo · 24 Novembre 2011

il me semble que Google se base sur la liste gérée par http://www.stopbadware.org/home/badware
ce n'est donc pas Google qui est à l'origine de la classification "site dangereux"

cf. https://www.google.com/support/websearch/bin/answer.py?hl=fr&answer=45449

Dertron · 24 Novembre 2011

Non, en fait il me semble que stopbadware.org contient seulement des ressources sur les badwares. Ils s'appuient sur Google Safe Browsing pour déterminer si un site est infecté. Et ils indiquent qu'une fois que ton site est désinfecté (!), il faut le soumettre à Google via Outils pour Webmasters. cf http://www.stopbadware.org/home/reviewinfo
D'ailleurs, je viens de me rendre compte que l'outil qui permet de tester si un site contient un badware contient l'historique des problèmes rencontrés.
https://www.google.com/safebrowsing/diagnostic?site=exemple.com (remplacer exemple.com par votre site)
Donc si mon problème n'en était pas un, ça restera écrit. Un peu comme un casier pas vierge pour quelqu'un qui n'a jamais rien fait de mal !

UsagiYojimbo · 24 Novembre 2011

Tu as tenté de demander un re-examen : https://www.google.com/webmasters/tools/reconsideration?hl=fr&pli=1 ?

Dertron · 24 Novembre 2011

En fait, les data utilisées par stopbadware proviennent de google, GFI et NSFOCUS (http://www.stopbadware.org/partners). Mais Firefox par exemple prend les infos seulement auprès de google, sans passer par stopbadware.

Dertron · 24 Novembre 2011

Salut UsagiYojimbo, en fait, je n'ai plus de problème personnellement, vu que Google a bien pris en compte ma demande et a réactivé mon site. Donc pas besoin que je le soumette à nouveau. Mon interrogation est qu'est-ce qui s'est passé, pourquoi, et est-ce que ça va recommencer ! Surtout que mon site n'était (à priori) pas infecté... Et est-ce que ça va vous arriver !!! :?

bee_human · 24 Novembre 2011

Dertron a dit:
Donc si mon problème n'en était pas un, ça restera écrit. Un peu comme un casier pas vierge pour quelqu'un qui n'a jamais rien fait de mal !

Visiblement, il garde un horizon de 90 jours. Je suis dedans après un hack au 10 novembre. Je regarderai en février si je disparais.

Dertron · 24 Novembre 2011

Pour ton site, il y avait vraiment eu hack ?

bee_human · 25 Novembre 2011

Dertron a dit:
Pour ton site, il y avait vraiment eu hack ?

Oui, faille Zenphoto.

Dertron · 26 Décembre 2011

Et voilà que ça recommence :cry: ...
Nouveau blacklistage par Google pour code malveillant, le 22 décembre vers minuit. Même topo que fin novembre, je n'ai rien trouvé de louche sur le serveur, et pas de problème pour consulter le site (hormis le message sur Firefox qui s'appuie sur Google), et rien dans le code source de la page affichée. Rebelotte avec Adwords, blocage des campagnes publicitaires. Même solution que la dernière fois, j'ai rempli les formulaires Google pour prévenir que "tout était rentré dans l'ordre". Même si je n'avais rien fait... Et même réponse de Google : "plus de malware détectés" => le compte est réactivé, donc plus de message sur Firefox et pubs Adwords qui apparaissent à nouveau.

Une fois de plus, quelques jours de perdus pour rien. Je suis toujours le seul à qui cette mésaventure arrive ? :?

Dertron · 9 Janvier 2012

Pour info, je suis à nouveau blacklisté par Google depuis 16h00. Si je vais sur mon site w w w . b i o s e n s e . f r et que je regarde le code source, je ne vois rien de louche. Et vous ?

UsagiYojimbo · 9 Janvier 2012

Quand j'accède au site, je suis redirigé sur une page maintenance.html. Normal ? As-tu testé de modifier ton user-agent et de choisir celui de Google pour voir ce qui s'affiche (via le plugin user agent switcher par exemple) ?

Wainithy · 28 Janvier 2012

Dertron a dit:
Je suis toujours le seul à qui cette mésaventure arrive ? :?

Hélas non, j'ai le même souci sur un site. j'ai chopé le malware à cause d'une faille de sécurité de ZenPhoto et depuis un mois le site est blacklisté par Google.
Comme toi, j'ai remis le site en uploadant une version propre, écransant ainsi les .htaccess.
J'ai viré aussi ZenPhoto et tous les liens s'y rattachant, pour passer sur un script Piwigo.
Comme toi, j'ai fait appel aux outils de diagnostic Google qui n'ont plus rien trouvé de malveillant sur le site.
J'ai fait trois demande d'examen, celles-ci sont revenue négative. Le site est donc propre mais je suis toujours blacklisté par les moteurs de recherche !!!
Je ne sais plus quoi faire, help me please ...

Site en question : www.guillaumeclouet.fr

UsagiYojimbo · 29 Janvier 2012

Je pense que tu as un problème sur ton site, parce qu'il est de toute façon impossible d'y accéder sur Firefox.

zeb · 29 Janvier 2012

UsagiYojimbo a dit:
de toute façon impossible d'y accéder sur Firefox.

Chez moi ça passe.

Le site est donc propre mais je suis toujours blacklisté par les moteurs de recherche !!!

Qu'est ce qui te faire dire ça ? perso je ne voie rien qui puisse laisser suposer que tu soit en blackliste.
Si en revanche tu constate un trafic faible et que c'est ce qui te fait penser que tu as un souci il peut très bien s'expliquer autrement.
Il faudrait plus de détails.

Wainithy · 29 Janvier 2012

Merci pour vos réponses.

Le site passe effectivement en lien direct dans le navigateur, mais lorsqu'on utilise un moteur de recherche pour y accéder, tel que Google, le site est bloqué et ce malgré l'examen Google qui ne révèle plus aucun logiciel malveillant sur le site !
Il faut alors vider le cache du navigateur afin de pouvoir accéder de nouveau au site en lien direct.
Le rapport de Google mentionne ceci :
"Ce site n'est actuellement pas répertorié comme suspect."
"Ce site n'a hébergé aucun logiciel malveillant au cours des 90 derniers jours."

@Zeb : Je pense que le site est propre car j'ai passé en revue tous mes scripts, viré ZenPhoto à l'origine de la faille de sécurité, viré tous les liens s'y rapportant. Que puis-je te fournir comme autres détails ? Merci pour ton aide.

zeb · 29 Janvier 2012

je viens en effet de constater l'avertissement firefox (c'est de plus en plus souvent cette saleté) et je tombe sur un site russe ("www.answer-float.ru").
ça ressemble a une redirection htaccess note la date et heure du fichier htaccess pour voir si il a pas été modifié dans ton dos.

Est tu chez OVH ? (j'ai pas vérifié)

Wainithy · 29 Janvier 2012

Oui, ce site est hébergé chez OVH

zeb · 29 Janvier 2012

De plus en plus de cas signalés de ce genre chez OVH (bizarrement pas ailleurs) ce qui ne les implique pas forcement mais c'est quand même troublant.

Wainithy · 29 Janvier 2012

J'ai regardé mon fichier .htaccess à la racine du site, rien a signaler. Je suis à l'origine de la dernière modification pour forcer OVH en PHP 5 (SetEnv PHP_VER 5_3). Sinon rien d'autre.
Par contre, j'ai un autre fichier .htaccess en amont sur le serveur OVH (avec les fichiers .bash_logout, .bash_profile, .bashrc, .forward). Celui-ci, édité avec un éditeur de texte, semble vierge. Sa dernière modification date du 6 janvier, donc plus de 3 semaines. Je ne sais pas si je peux le supprimer.

Ce qui me parait pas clair c'est que, après un examen du site par Google qui ne révèle aucun souci, le site devrait être débloqué sous 24h00 !!! Qu'en penses-tu ?

zeb · 29 Janvier 2012

Wainithy a dit:
Qu'en penses-tu ?

Sincèrement je sais pas trop quoi penser du temps de déblocage "google" ni de la vague d'alertes qu'on voie passer de plus en plus ici depuis un a deux mois.
Un wrinaute qui as eu des souci comme toi a fait débloquer 2/3 fois al situation chez GG avant de trouver la source du problème (logiciel open source pas a jour). Dans son cas de mémoire il me semble que cela se passait vite (genre une demie journée)

Wainithy · 4 Février 2012

Un second fichier .htaccess placé au-dessus de www était lui aussi corrompu. Une redirection y était insérée vers le site russe en question.
Ce fichier a été supprimé car il n'avait pas lieu d'être. Tout à l'air d'être rentré dans l'ordre.
Cette faille de sécurité sur ZenPhoto a fait beaucoup de ravage sur le net. Du coup, un peu refroidi par le truc, j'ai tout viré, changé mes mots de passe et suis passé sur une galerie photo propulsé par un script Piwigo. Cela ne signifie pas qu'un tel problème ne peut se reproduire mais çà me rassure.

Merci à vous tous pour disponibilité et votre aide.

zeb · 4 Février 2012

Wainithy a dit:
suis passé sur une galerie photo propulsé par un script Piwigo. Cela ne signifie pas qu'un tel problème ne peut se reproduire mais çà me rassure.

Note bien que tant que tu utilisera de l'open source pour motoriser tes applications tu risquera ce genre de souci.
Un faille 0days pas encore révélée et exploitées sera toujours possible.
Les mises a jours avec tout le tintoins qui va avec préservent mais ne garantissent rien, même pour les meilleures applications.
Une dépersonnalisation (suppression des éléments répétitifs et facilement identifiables via moteur de recherche genre "powered by") n'est pas farfelue pour éviter de se retrouver en bonne place dans les SERP de bidouilleurs.

Wainithy · 4 Février 2012

Merci Zeb,
Je vais tâcher de garder cela à l'esprit ...

francky62 · 2 Janvier 2013

Bonjour, j'ai aussi ce problème. Google m'a bloqué mes pages web. Je n'ai rien trouvé de suspect et après nouvel examen, il débloque les avertissements... Sauf qu'avec Firefox, ça reste bloqué et que je ne sais pas commet gérer le truc !!!!
Fait assez bizarre, depuis cette récente mésaventure, je vois aussi fleurir des avertissements de pages malveillantes quand je surfe sur le net, alors que je n'avais jamais vu cela avant !?
Je trouve effectivement cette dérive de Google très dictatoriale. Surtout qu'il semble que l'on puisse allez dénoncer des pages que l'on estime suspectes ?! Allez savoir dans quelle mesure tout cela est bien réel.
Si le googlebot est capable de déceler des malwares sur des pages net, il pourrait tout aussi bien donner le détail au webmaster.
Pourquoi ne peut-on accéder à cette info ?
Sur ma page diagnostic, voilà ce qui était indiqué "Parmi les logiciels malveillants, les éléments suivants sont présents : 5 exploit(s)."
Qu'est-ce que ça veut dire ? Rien.

zeb · 3 Janvier 2013

francky62 a dit:
Si le googlebot est capable de déceler des malwares sur des pages net, il pourrait tout aussi bien donner le détail au webmaster.
Pourquoi ne peut-on accéder à cette info ?

Simplement car c'est pas google qui gère la détection mais un prestataire tiers il me semble.

crughon · 14 Février 2013

Wainithy a dit:
Dertron a dit:

Je suis toujours le seul à qui cette mésaventure arrive ? :?

Cliquez pour agrandir...

Site en question : www.guillaumeclouet.fr

Perso je ne trouve pas de problème sur ton site...

Je suis arrivé sur cette page de WRI, parce que je viens de me taper un avertissement pour logiciel malveillant par GG. Evidemment la page incriminée est nickel... affaire à suivre.

Marie-Aude · 14 Février 2013

Je te signale que tu réponds à un message de février 2012... heureusement que les problèmes ont été réglés entretemps pour son site

crughon · 14 Février 2013

Marie-Aude a dit:
Je te signale que tu réponds à un message de février 2012... heureusement que les problèmes ont été réglés entretemps pour son site

C'est vrai que cela date... Etant concerné aujourd'hui par ce sujet, je me suis laissé aller à vérifier son lien... et comme d'autres ont signalé un problème cyclique (un jour ça remarche, un autre jour ça ne marche plus), j'ai vérifié pour voir si le site existait toujours. Parce qu'à bien considérer le problème, une alerte même brève, suffit à jeter le doute parmi les internautes, qui pensent que le site est dangereux. On a vu des sites fermer pour moins que ça. J'avoue que signaler un site comme suspect et trois jours après (à la demande du propriétaire) dire que finalement tout va bien, je pense qu'il y a là une légèreté qui peut avoir des conséquences graves sur de nombreux business.

Le sujet me tient à coeur puisse que je viens de recevoir un avertissement Google. Je n'ai pas trouvé de script malveillant, et je me demande s'il ne s'agit pas d'une alerte que je qualifierais d'indirecte. Je fais un lien vers un site prétendu douteux, faisant lui-meme un lien vers un site douteux, donc je deviens douteux. Ainsi mieux que le virus lui-meme, la rumeur, et la suspicion se propage... et là, je trouve ça aussi dangereux que le mal supposé... Mais bon, j'aurai l'occasion je pense d'en reparler.

Forum en tout cas intéressant et instructif. :wink: