Site bloqué par Norton

Bonjour,


Une de mes clientes a vu son site mis hors ligne par OVH il y a qq semaines pour cause de hack. J'ai réussi à le remettre en ligne aujourd'hui, www.saisonsduchangement.com sauf que depuis son ordinateur (auquel je n'ai pas accès mais je peux demander des infos si vous en avez besoin), elle ne peut tjs pas accéder au site car Norton le bloque.

Quelle est la procédure à suivre ?

Merci de votre aide et bonne journée

Bonjour,

 

Il semblerait que votre site ne soit pas encore remis en ligne par votre prestataire

car je n'y ai pas non plus accès.

Et ce, même en désactivant totalement mon firewall et mon antivirus Norton.

Cela ne me semble donc pas venir de mon produit Norton (et donc pas non plus de celui de votre cliente).

 

J'ai également vérifier le classement de ce site par Norton Safe Web qui ne

l'a pas encore testé. (Il n'est donc pas identifier par Symantec comme un site contenant des menaces).

 

De plus, une analyse par virus total (2013-01-30 13:52:42 UTC) indique même que votre site est considéré comme "clean".

 

Je vous invite donc à :

  1. vous retourner vers OVH afin de vérifier que la mise en ligne de votre site est opérationnelle et le cas échéant remetre le site en ligne
  2. Mais également à utiliser la fonction "propriétaire du site : cliquez-ici" sur Norton Safe Web afin d'assurer une protection et un classement pour votre site.
  3. En outre, afin de prévenir les problèmes sur l'ordi de votre cliente lorsque son site sera de nouveau en ligne, je vous invite à lui faire vider le cache (historique, cookies, fichiers temporaires..) des navigateurs qu'elle utilise et une analyse complète de son disque-dur.

Tenez-nous au courant de la résolution de votre problème.

 

Cordialement

 

Guillaume1024

Bonsoir,

 

Ayant pu avoir accès à votre site aujourd'hui sur mon portable Windows Phone, je me suis reposé la question et peut être, ai-je repondu trop vite hier soir.

J'ai ré-essayer ce soir de me connecter avec mon ordinateur sur le site dont vous parlez, j'obtiens des alertes de détections Web Attack: Mass Injection Website et Web Attack: Mass Injection Website 5.

 

Le système de prévention d'intrusion des produits Norton bloque bien votre site. (Vous pouvez regarder un cas qui me semble similaire pour plus d'info.)

 

Pour résoudre ce problème, je vous conseille de vérifier qu'il ne reste pas des éléments liés au hack du site en question qui pourrait expliquer cette détection d'attaque.

 

Si ce n'est pas le cas, je vous invite à déclarer la detection de ce faux-positif potentiel auprès de Symantec en utilisant la méthode donnée par Liliana_Gaspar.

 

Ceci permettra vraisemblablement de résoudre le problème.

 

Cordialement

 

Guillaume1024

Bonjur Guillaume et merci de ta réponse,

 

Pour vérifier ça, dois-je me tourner vers OVH ? (Ce site n'a pas été créé par moi, je dois juste le dupliquer avec Wordpress et le remplacer car la personne qui l'a créé n'a laissé aucun code d'accès au cms et je ne sais pas comment il a été fait).

Merci de ton aide et bonne journée

Marine

Bonsoir,

 

J'ai fait une detection de faux-positif pour votre site

(en temps qu'utilisateur du site, vous pouvez en faire de même en temps que concepteur !)

Je devrai avoir un retour d'ici mardi soir (deux jours ouvrés) !

Je vous tiens au courant.

 

De votre coté, vous pouvez toujours déclarer le site en tant que propriétaire

pour le faire évaluer par Noton Safe Web. (il faut avoir accès aux balises

de la page d'accueil !)

 

Cordialement

 

Guillaume1024

Re-bonsoir,

 

Une nouvelle analyse par virus total 2013-02-01 20:03:12 UTC donne une détection de 1/34 versus 0 il y a deux jours.

 

Je ne suis donc pas certain que ce soit un faux positif.

 

Affaire à suivre !

 

Cordialement

 

Guillaume1024

Bonsoir Guillaume,

 

comme on n'a aucun backup du site puisque la personne qui l'a fait n'a donné aucun code d'accès ni rien, on m'a conseillé de récupérer le contenu,  de tt supprimer et recréer from scratch (cette fois sur Wordpress ou Joomla puisque la proprio du site n'a même pas les codes du CMS).

Penses tu que ce soit la solution ? on efface et on recommence ?

Merci de ton aide en tt cas (le site que tu monitores est www.lessaisonsduchangement.com ou saisonsduchangement.com ?)

Bonne soirée

Marine

Bonsoir Marine,

 

Malheureusement je n'y connais absolument rien en conception de site Web, je ne vous serais d'aucun recours.

Mais la question reste ouverte si d'autres membres de la communauté ont un avis sur votre question.

Je me suis juste posé la question (juste une question en l'air : Au lieu de tous recommencer votre site, pourquoi ne pas utiliser un aspirateur de site internet du type HTTrack Website Copier ? Si votre site/ et le fournisseur le permet cela vous permettra certainement de gagner du temps.

Qu'en pensez-vous ? / Vous avez beaucoup de contenu ?

Mais pour cela j'attendrai d'avoir la confirmation qu'il s'agit d'un faux positif ou non pour ne pas mettre en péril votre ordinateur !!

 

Le plus simple reste toutefois de vous rapprocher d'OVH l'hebergeur et/ou du concepteur initial du site pour obtenir l'ensemble des codes, sources et informations nécessaires à la modification de votre site !

 

Pour info, j'ai suivi le site saisonsduchangement.com, mais à la lecture de votre dernier post j'ai également testé le site lessaisonsduchangement.com. J'obtiens des Mass Injection website dans les 2 cas.

 

Bonne nuit.

 

Guillaume1024

Bonsoir,

 

Voici la traduction (mauvaise mais compréhensible) à la soumission de votre site www.saisonsdu changement.com pour analyse en tempq que faux-positif :

 

"Nous vous écrivons au sujet de votre soumission par Symantec formulaire en ligne Faux positif des différends de soumission de votre logiciel est détecté par le logiciel de Symantec. À la lumière de complément d'enquête et d'analyse, Symantec a déterminé que le logiciel soumis doit conserver détection selon nos critères de détection."

 

La menace dans ce site est donc confirmée.

 

Avez-vous des nouvelles des OVH ?

 

Cordialement

 

Guillaume1024

Bonsoir,

 

Ils m'ont répondu de regarder les logs mais je ne comprends pas ce que je dois chercher... (autant les stats web me parlent, autant les logs hébergeur pas du tout ;-) )

J'ai extrait le contenu du site en vue de le refaire avec Wordpress puisque de ttes façons c'est le but et lors de mon upload, il est apparu que c'est Index.php qui est touché.

Je vais donc tt virer, tout refaire propre, avc des backups et les astuces sécurité même si ça ne protège pas de tt.

Bonne soirée et merci !

Parfait,

 

Merci pour votre retour d'information.

 

Bon courage.

 

Guillaume1024