Piratage de site web avec redirection d'urls malveillantes

Infection de votre site web par un virus / malware, piratage par redirection d’url (adsformarket etc…)

 

Si vous remarquez des redirections en vous rendant sur votre site web cela signifie qu’un pirate a injecté du code malveillant dans vos fichiers serveur via une faille d’injection.

Malheureusement, il est trop tard, il est donc inutile de chercher à sécuriser votre site, la priorité sera avant tout de détecter la faille qui a permis cette injection d’url malveillante.

Sans ça, le piratage recommencera car dans la majorité des cas, ce genre de piratage est mis en place par des robots qui scannent des sites automatiquement à longueur de journée de façon à trouver tout ceux qui possèdent la fameuse faille.

Généralement, dans de nombreux cas, le piratage refait surface quelques heures voir quelques jours suite au nettoyage dans le cas ou ce dernier serait partiel, cela est dû à du code caché dans les fichiers qui ne sont pas détectés comme malveillant du fait que le code n’est tout simplement pas malveillant en soit et qu’il se copie automatiquement dans certains fichiers.

Si vous utilisez des scanners de fichiers malveillants sur votre site web via un plugin type Wordfence (pour WordPress), alors, le plugin détectera de nombreux fichiers infectés, les scanners se basent sur des codes connues pour dissimuler du contenu, du code crypté, hors, il est possible de crypter du code sans qu’il soit reconnu comme malveillant et c’est la que tout se complique car cela nécessite une recherche approfondie et minutieuse.

Très souvent, les scanners permettront de détecter des fichier .php contenant du code comme celui ci-dessous :

 

 

Ils permettront aussi de détecter de fausses images aux extensions plutôt étranges comme “.php.png” ,qui sont de fausses images contenant du code dissimulé.

Les scanners pourront aussi vous aider à détecter des comptes administrateurs cachés sur votre site web car généralement, lors d’un piratage, le pirate créé un compte de façon à pouvoir garder la main sur votre site et dans certains cas, publier du contenu sous forme d’article de blog de façon à référencer un site ayant une thématique sans rapport avec la thématique traitée sur le votre, ce qui, dans un premier temps est relativement pénalisant en terme de référencement naturel.

Il est important de savoir que lorsque vous trouvez un fichier infecté, très souvent, le code trouvé est dupliqué dans la majorité de vos fichiers, c’est à dire plusieurs milliers voir dizaines de milliers de fichiers, ce qui rend le nettoyage impossible dans le cas ou il serait fait manuellement, il est donc indispensable de faire appel à un professionnel en sécurisation de site web pour mener à bien cette étape qui est cruciale.

La tâche est rude mais ne doit pas être prise à a légère, ce n’est pas parce que vous ne voyez plus de redirections, que Google ne la voit plus non plus, le piège est la, si vous ne nettoyez / sécurisez pas votre site de façon à le rendre clean à 100%, le risque d’une pénalité provenant de Google est hautement élevée, la conséquence pourrait être de voir votre site blacklisté et donc de le voir disparaître des résultats de recherche pour une durée comprise en 6 mois /1 an car il sera jugé comme dangereux pour les visiteurs.

Vous avez un site à désinfecter ou à sécuriser ?

Réponse sous 24 heures

Comment Google bot voit votre site web lors d’un piratage

 

Certains outils peuvent permettre de voir ce que voient les robots d’indexation Google, en effet, il est possible via divers extensions de navigateurs de simuler le User-agent Google bot, cela vous permettra donc de voir de quelle façon s’affiche votre site pour Google. Si vous utilisez le navigateur Firefox, vous pouvez par exemple installer l’extension : User-Agent Switcher Cet outils vous permettra de simuler plusieurs appareils : Linux, Mac, Windows, PS4 ainsi que tout un tas d’appareils mobiles.

 

 

Si votre site web s ‘affiche correctement sans redirections, voici comment Google pourrait voir votre site :

 

 

 

Les redirections courantes utilisées par les malwares WordPress

 

Voici une liste des redirections qui surviennent suite à un piratage de site web :

tom.verybeatifulantony.com/a.js

tom.verybeatifulantony.com/y.jshttps://talktofranky.com/?p=

go1news.biz/sw/w1s.jshttps://talktofranky.com/w_24.js

slow.destinyfernandi.com/same.js

dl.gotosecond2.com/talk.js?track=r&subid=547

snippet.adsformarket.com/same.js?v=3

scripts.trasnaltemyrecords.com/talk.js?track=r&subid=547adsforbusines.comstep.adsforbusines.com/crandy?url.adsformarket.comurl.adsformarket.com/go.phpsnippet.adsformarket.com/same.jstrack.adsformarket.com/for/hos?l0track.adsformarket.com/t.jstrack.adsformarket.com/spacy?backrocklondon.com/?p=traveltoscount.com/?p=globallyreinvation.comdeliverblackjohn.com/?p=globallyreinvation.com/?p=

dest.collectfasttracks.com

best.collectfasttracks.com/jsc.js/

dest.collectfasttracks.com/block

dest.collectfasttracks.com/ctealy

step.collectfasttracks.com

dest.collectfasttracks.com/t.js

dest.collectfasttracks.com/y.js

dest.collectfasttracks.com/clork/bons/danf.js

https://dest.collectfasttracks.com/for/hos?l1

dest.collectfasttracks.com/thp?

winworker.club/sw/w_11.js

lightversionhotel.com/?p=

step.collectfasttracks.com/r.php

https://clon.collectfasttracks.com/block

https://clon.collectfasttracks.com/hos?&tp=3\

collectfasttracks.com

best.collectfasttracks.com

clon.collectfasttracks.com

dest.collectfasttracks.com

step.collectfasttracks.com

verybeatifulantony.com

wait.verybeatifulantony.com

room.verybeatifulantony.com

destroy.verybeatifulantony.com

tom.verybeatifulantony.com

room.verybeatifulantony.com

Si votre site contient une de ses redirections, il sera donc indispensable de faire appel à un professionnel de façon à repartir sur de bonnes bases avant que Google prenne une décision radicale concernant votre site.