FORUM MOTARDS IDF | MOTO PARIS ET ILE DE FRANCE

[Valhnad]

C'est drôle parce que le problème vient des pubs installées sur le forum. Dire qu'à l'époque ça gueulé pour qu'on désactive les bloqueurs de pubs.

Les comiques

pour l'instant tout ce qu'on peut vous recommander est de bien garder vos bloqueurs de pub en "on". Pour ceux qui n'en ont pas, c'est juste une petite extension et ça vous change la vie sur internet. A titre d'exemple, vous pouvez prendre Adblock (pas le meilleur), uBlock Origin, ou encore Ghostery.

Salut,
Le problème, c'est que de plus en plus de sites ne fonctionnent plus si tu as un bloqueur de pub et te demandent de le désactiver...

[shijo]

En effet, c'est le cas sur ma machine, et aucun problème même avec le bloqueur désactivé.

J'ai bien vu le problème aussi. Mais ça ne le fait pas systématiquement. D'une façon ou d'une autre, de temps en temps seulement, on est renvoyé vers une URL malveillante.

Bizarrement, c'est un problème connu depuis un an. On le constate en faisant une recherche sur Google avec "Windows Warning Alert" ou "DW6VB36". Inutile d'aller chercher une solution ou des explications, on trouve essentiellement des salades, ou des sites qui vous incitent à installer un truc sur le PC....

Par contre, mon Avast détecte et bloque l'URL, m'affiche un vrai warning.

C'est drôle parce que le problème vient des pubs installées sur le forum.

Assez probable, car Google semble bien renvoyer vers ici.

[shijo]

J'ai essayé d'en savoir plus, ou qui nous redirige parfois vers des URL en .tk. Avec Wireshark. Mais ce qui m'arrive et qui redirige là bas semble être crypté; ensuite, suit une requête DNS, puis les beeps de Avast...

Pour le provoquer, facile: aller sur Google, faire une recherche "motards IDF", cliquer et arriver ici. Recommencer. Un moment ou un autre, ça coince.

Je ne pense pas que ce soit Google, ni Firefox. Ces IP semblent être connues pour inciter à sortir sa CB ou à télécharger des logiciels:

https://transparencyreport.google.com/s ... 9.83.47%2F





Toutes les URL en .tk ne semblent pas être indexées par Google. Mais faites une recherche disappearance.tk, cliquez: tout de suite Avast fait beep beep beep.



Soit on a tous une merde sur le PC, soit c'est le forum qui redirige vers ces .tk, soit c'est la pub qui y renvoi de temps en temps.

Fermez simplement ces fenêtres quand ça se produit. N'y cliquez sur rien, ne téléphonez pas et n’installez aucun des logiciel proposés.

[Valhnad]

Sauf que sur Firefox ça te bloque tout, obligé de tuer le process. Si en plus (comme par défaut) il te recharge la même page, t'es marron.

[shijo]

Sauf que sur Firefox ça te bloque tout, obligé de tuer le process. Si en plus (comme par défaut) il te recharge la même page, t'es marron.

Oui et non. Tuer le process, déconnecter le LAN ou couper la WiFi et relancer Firefox, qui ne pourra plus recharger la page?

Avec un anti virus, j'ai pas de problèmes, je dois plutôt insister pour afficher ces pages.

Pour le moment, j'ai juste trouvé 3 cookies de ces sites. Rien de plus.

[shijo]

J'arrive pas à comprendre d'où ça sort. Mais ça marche presque à tous les coups.

Avec Firefox, ouvrir le "moniteur réseau" (raccourci clavier pour Windows = Crtl+Maj+E). Aller sur Google; rechercher Motard IDF, cliquer, insister jusqu'à ce que ça fasse beep.

Faites le avec Avast, qui empêche la connexion.... Quand ça coince, suit un GET vers un site en .tk:

[shijo]

Je vérifierais encore avec cette solution. On dirait que lorsque ça se passe mal, le forum (www.motards-idf.fr ou www.motards-idf.fr/forum) renvoie une valeur "Location" incorrecte.

HTTP location - Wikipedia
https://en.wikipedia.org/wiki/HTTP_location

The HTTP Location header field is returned in responses from an HTTP server under two circumstances: To ask a web browser to load a different web page (URL redirection). In this circumstance, the Location header should be sent with an HTTP status code of 3xx. It is passed as part of the response by a web server when ...
‎Examples · ‎Absolute URL example · ‎Relative URL example

Là, ça renverrait vers un .tk, puis ça coince:



Puis là, ça fonctionnait:

[shijo]

Je pense avoir été repéré. Le site fonctionne de mieux en mieux. Mais si j'insiste, que je clique et reclique depuis Google, ça fini par coincer encore. Toujours avec le même symptôme, avec un paramètre Location où figure une adresse en .tk.

Et je pense qu'il faudrait maintenant vérifier l'état de ce qui est sur le site web...

[shijo]

Dernier constat autour de cela.

J'ai ouvert plein de fois directement https://www.motards-idf.fr/balades-sorties-moto-groupe/ et ça ne l'a pas fait.

Par contre, si j'ouvre le même lien à partir de Google (le referer), ça se produit assez vite.

Et donc, je pense qu'il faut vérifier le contenu du site web.

[Nico]

Merci à tous pour cette remontée, merci pour ton mail également shijo.

Pas simple cette histoire... En fonction de mon parcours, je reproduis aussi le problème ... mais Google WebmasterTools me remonte aucune anomalie pourtant. Vous dites que vous avez constaté le problème depuis combien de temps, 3 semaines ?

Pourquoi pensez-vous que cela vienne des pubs ? Cela pourrait venir d'un commentaire, d'un post ou autre... J'ai malgré tout supprimé des pubs ajoutées en septembre dernier (seules évolutions de ces derniers mois), constatez-vous un changement ?

[Nico]

A quoi correspond l'ip renseignée ? Une page précise ? Cela simplifierait les choses...

Car si je renseigne l'url du site (http://www.motards-idf.fr ou https://www.motards-idf.fr), cela indique "aucun contenu suspecté"

[shijo]

A quoi correspond l'ip renseignée ? Une page précise ? Cela simplifierait les choses...

Ca veut juste dire que ces IP ou URL en .tk sont bien connus, comme étant des destinations pour ces redirections.

Si le truc est assez intelligent, bien pensé, Google Webmaster Tools ne va rien voir. Des robots ou ce genre d'outils de Google, c'est différent d'un navigateur.

Puis désolé, mais ça le fait encore. J'ai du insister quelques minutes avant de le constater à nouveau mais c'est toujours présent.

Je ne pense plus que ce soit la pub, des serveurs tiers, qui pourraient envoyer aussi des redirections au navigateur.

Il faut vérifier ce qui est sur les serveur, ses fichiers. Il doit y en avoir de récents ou modifiés il y a peu. Les gens disent que ça a commencé il y a deux ou 3 semaines, c'est un indicateur. Ce serait à faire vérifier, peut être avec des experts en phpBB ou en PHP, pour trouver ce qui modifie parfois la réponse du serveur.

C'est à chaque fois la même chose qui se produit. Lorsqu'on arrive ici depuis Google, le serveur http://www.motards-idf.fr (soit apache ou phpBB) envoie une réponse de type 302 avec une URL en .tk dans le champ "Location". C'est ce qui provoque la redirection.

Et donc, l'outil Firefox "moniteur réseau" (raccourci clavier pour Windows = Crtl+Maj+E) permet de bien voir ce qui se passe.

Puis surtout Avast connait et bloque ces URL. Je ne sais pas si Defender ou d'autres antivirus les bloquent aussi.

[shijo]

:humm:

Tu as mon 06 en MP. Mais ça reste coincé dans ma boite d'envoi...

[Nico]

Bonjour à tous,

En réalisant plusieurs tests avec Shijo (merci encore à toi pour ta disponibilité !), nous avons déterminé que le problème survenait uniquement :
- depuis un lien depuis Google vers le site, jamais une fois sur le site en naviguant sur le site d'une page à l'autre
- vers les url du blog (y compris la page d'accueil du site donc http://www.motards-idf.fr), et rien sur le forum

Ces tests m'ont permis d'isoler les corrections sur le blog :
- suppression de l'ensemble des commentaires depuis 1 mois
- suppression/ré-installation de wordpress dans sa dernière version

Il semble que le problème soit résolu. Pouvez-vous me le confirmer ?

Merci à tous pour votre vigilance, ce virus était assez pervers (puisque non systématique) !

[phiphilou]

Cela me semble corrigé à ce jour, je n'ai plus le problème.
Merci à vous
A+