Author Topic: [Forum] What next ?  (Read 402941 times)

Offline lock07

  • Hero Member
  • *****
  • Posts: 1 745
  • Bonus Pute: 40
  • Une bière par jour, la santé pour toujours
    • Génération-Snes
Re: [Forum] What next ?
« Reply #525 on: 28 August, 2012, 12:40:37 »
Entre mon pc du boulot et mes pc persos il n'y a pas d'échanges de fichiers. Infection par un site ?
Je n'ai jamais eu le problème avant de tester le méthode par la recherche google indiquée plus haut par je ne sais plus qui.
Je vais voir si je peux tester depuis d'autres PC au bureau.

Offline ɯɐʇ

  • Snack of Quality
  • Hero Member
  • *****
  • Posts: 2 021
  • Bonus Pute: 115
  • ?x???? ¡¡¡¡¡
Re: [Forum] What next ?
« Reply #526 on: 28 August, 2012, 13:27:07 »
perso ça arrive (de temps en temps genre 1 fois sur 10) sur toutes mes machines (pc "famille", pc perso, pc boulot...)
et ça n'arrive QUE sur nespas, jamais ça ne m'est arrivé sur un autre site
j'ouvre généralement nespas en sélectionnant un de mes bookmarks depuis igoogle (qui contient tous les bookmarks que j'ouvre à chaque session, encore une fois seul nespas a posé problème)

alors je suis pas à l'abri de virus et malwares... mais là on parle quand même d'un truc un peu particulier tu avoueras, c'est pas un redirect beta qui harponne mes recherches google hein, faudrait déjà que quelqu'un ait sacrément maille à partir avec nespas pour faire un truc pareil :D

ce qui m'amène à penser comme lock, à savoir un problème coté serveur, un truc qui toucherait les fichiers .htaccess ou je ne sais quoi ? (là on sort de mon domaine de compétence)
« Last Edit: 28 August, 2012, 13:30:50 by tam »

Offline High_Cobra

  • Hero Member
  • *****
  • Posts: 1 284
  • Bonus Pute: 13
    • Gamoover.net
Re: [Forum] What next ?
« Reply #527 on: 28 August, 2012, 13:50:19 »
Pour en être certain il faudrait le code source de la page d'accueil du site.

Je l'ai regardé, sans doute pas assez en détail mais ça ne m'es jamais arrivé non plus...

Offline gnocchi

  • Hero Member
  • *****
  • Posts: 3 590
  • Bonus Pute: 64
    • meeple.fr
Re: [Forum] What next ?
« Reply #528 on: 28 August, 2012, 13:55:57 »
J'ai dégainé wireshark et voilà ce qui en ressort :

Quand on n'a pas de cookie nommé WCo appartenant au domaine jenesuis.net et que l'on clique sur un lien google pointant vers www.jenesuis.net alors www.jenesuis.net crée le dit cookie avec une durée de vie de quelques jours puis renvoie le code suivant :

Code: [Select]
HTTP/1.1 302 Found
Date: Tue, 28 Aug 2012 10:23:49 GMT
Server: Apache/2.2.9 (Debian) DAV/2 SVN/1.5.1 PHP/5.3.5-0.dotdeb.0 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g
Set-Cookie: WCo=24; path=/; domain=www.jenesuis.net; expires=Tue, 04-Sep-2012 16:13:49 GMT
Location: http://3364.reefclown.com/url?sa=X&source=web&cd=46&ved=0uzO6p1DH&
url=http://www.jenesuis.net/&ei=2ZUhc6XK46u3ro2PxlU38pa1pw==&usg=SK3jYyj-DT3M81HHwsrB1C&sig2=0rE9qf6FFkfheRGvcsHHiw
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 433
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1




Code: [Select]
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">\n
<html><head>\n
<title>302 Found</title>\n
</head><body>\n
<h1>Found</h1>\n
[truncated] <p>The document has moved <a href="http://3364.reefclown.com/url?sa=X&amp;source=web&amp;cd=46&amp;ved=0uzO6p1DH&amp;url=http:
//www.jenesuis.net/&amp;ei=2ZUhc6XK46u3ro2PxlU38pa1pw==&amp;usg=SK3jYyj-DT3M81HHwsrB1C&amp;sig2=0rE9q
<hr>\n
<address>Apache/2.2.9 (Debian) DAV/2 SVN/1.5.1 PHP/5.3.5-0.dotdeb.0 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g Server at [url=http://www.jenesuis.net]www.jenesuis.net[/url] Port 80</address>\n
</body></html>\n

Quand le cookie existe, on arrive bien sur l'index de www.jenesuis.net


Il me parait assez évident que le problème est situé côté serveur.
« Last Edit: 31 August, 2012, 16:24:26 by gnocchi »

Offline High_Cobra

  • Hero Member
  • *****
  • Posts: 1 284
  • Bonus Pute: 13
    • Gamoover.net
Re: [Forum] What next ?
« Reply #529 on: 28 August, 2012, 14:10:56 »
Vais regarder coté serveur alors...

Merci pour la recherche gnocchi !

Offline gnocchi

  • Hero Member
  • *****
  • Posts: 3 590
  • Bonus Pute: 64
    • meeple.fr
Re: [Forum] What next ?
« Reply #530 on: 28 August, 2012, 14:24:41 »
Voilà les entêtes http
Code: [Select]
http://www.jenesuis.net/

GET / HTTP/1.1
Host: [url=http://www.jenesuis.net]www.jenesuis.net[/url]
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: keep-alive
Referer: http://www.google.fr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CCQQFjAA&url=http%3A%2F%2Fwww.jenesuis.net%2F&ei=Ibc8UJ6AI8qp0AXt3ICgBA&usg=AFQjCNGssGLgH8ltV5L-LgXeVmvEM6JAmg&sig2=pU-y5yz6zB7ZHVABSRVeBg
Cookie: __utma=156530592.1683852618.1346149930.1346149930.1346149930.1; __utmz=156530592.1346149930.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); PHPSESSID=3111a72a30cca2ebbc46eac8905f2abd;
NESPAS=a%3A4%3A%7Bi%3A0%3Bs%3A1%3A%228%22%3Bi%3A1%3Bs%3A40%3A%225717588fc2f46d66895d870919bc5f66c2c20df0%22%3Bi%3A2%3Bi%3A1535366299%3Bi%3A3%3Bi%3A0%3B%7D; __utmc=156530592

HTTP/1.1 302 Found
Date: Tue, 28 Aug 2012 12:19:37 GMT
Server: Apache/2.2.9 (Debian) DAV/2 SVN/1.5.1 PHP/5.3.5-0.dotdeb.0 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g
Set-Cookie: WCo=24; path=/; domain=www.jenesuis.net; expires=Tue, 04-Sep-2012 18:09:37 GMT
Location: http://4403.reefclown.com/url?sa=X&source=web&cd=46&ved=0uzO6p1DH&url=http://www.jenesuis.net/&ei=2ZUhc6XK46u3ro2PxlU38pa1pw==&usg=SK3jYyj-DT3M81HHwsrB1C&sig2=0rE9qf6FFkfheRGvcsHHiw
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 433
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

Je n'y connais pas grand chose, mais à priori tout se joue là :
Set-Cookie: WCo=24; path=/; domain=www.jenesuis.net; expires=Tue, 04-Sep-2012 18:09:37 GMT
Location: http:/ /4403.reefclown.com/[snip]
« Last Edit: 31 August, 2012, 16:23:08 by gnocchi »

Offline Sto

  • Hero Member
  • *****
  • Posts: 3 148
  • Bonus Pute: 45
  • Organisateur de commandes groupées
    • Chez Sto
Re: [Forum] What next ?
« Reply #531 on: 28 August, 2012, 14:39:45 »
Pour le coup, c'est flippant, mais, c'est pas systématique, ce comportement, on est bien d'accord ?
J'ai beau vider mes cookies, essayer avec de nouveaux navigateurs, pas une fois je ne rencontre le problème...
J'ai essayé de passer par Google aussi.
« Last Edit: 28 August, 2012, 14:43:48 by Sto »

Offline High_Cobra

  • Hero Member
  • *****
  • Posts: 1 284
  • Bonus Pute: 13
    • Gamoover.net
Re: [Forum] What next ?
« Reply #532 on: 28 August, 2012, 14:43:32 »
bah je suis en train de fouiller le serveur de fond en comble et pour le moment, je ne trouve rien...

en plus, c'est loin d'être le seul site hébergé sur ce serveur et le problème a l'air d'être limité à NesPas, bizarre...

Offline Sto

  • Hero Member
  • *****
  • Posts: 3 148
  • Bonus Pute: 45
  • Organisateur de commandes groupées
    • Chez Sto
Re: [Forum] What next ?
« Reply #533 on: 28 August, 2012, 14:45:07 »
T'as accès au access.log d'Apache ?
Si oui, il serait intéressant de voir si la requête des gens qui ont ce problème arrive jusqu'au serveur. :)

Edit: Envoie le .htaccess pour voir ?
(Ça ressemblerait à ça, et reefclown est dans la liste.)
Va falloir taper sur les doigts de l'hébergeur, là, non ?
« Last Edit: 28 August, 2012, 14:51:12 by Sto »

Offline High_Cobra

  • Hero Member
  • *****
  • Posts: 1 284
  • Bonus Pute: 13
    • Gamoover.net
Re: [Forum] What next ?
« Reply #534 on: 28 August, 2012, 14:50:29 »
Je pense que j'ai trouvé...

Merci Sto pour la piste !

Edit : Ja'vais pas vu ta modif de message mais ça y ressemble fort !

Planqué après 1000 lignes blanches dans le fichier...

Offline Sto

  • Hero Member
  • *****
  • Posts: 3 148
  • Bonus Pute: 45
  • Organisateur de commandes groupées
    • Chez Sto
Re: [Forum] What next ?
« Reply #535 on: 28 August, 2012, 14:52:11 »
Testé avec un wget chez moi, et le problème se présente.
Se pourrait-il qu'un navigateur à jour rejette la redirection foireuse ?

Offline High_Cobra

  • Hero Member
  • *****
  • Posts: 1 284
  • Bonus Pute: 13
    • Gamoover.net
Re: [Forum] What next ?
« Reply #536 on: 28 August, 2012, 14:54:22 »
Voilà, ça doit être corrigé :D :D

Offline Sto

  • Hero Member
  • *****
  • Posts: 3 148
  • Bonus Pute: 45
  • Organisateur de commandes groupées
    • Chez Sto
Re: [Forum] What next ?
« Reply #537 on: 28 August, 2012, 14:55:13 »
Quote
1573:RewriteCond %{HTTP_USER_AGENT} .*Windows.* [NC]
Pour tous ceux qui ne l'ont pas eu. :)

Offline gnocchi

  • Hero Member
  • *****
  • Posts: 3 590
  • Bonus Pute: 64
    • meeple.fr
Re: [Forum] What next ?
« Reply #538 on: 28 August, 2012, 14:56:04 »
Je revenais pour poster cette URL.
Il faut remplir un certain nombre de conditions pour subir la redirection et apparemment les Mac users ne sont pas concernés puisque l'idée c'est de faire exécuter un exécutable windows derrière.

Offline gnocchi

  • Hero Member
  • *****
  • Posts: 3 590
  • Bonus Pute: 64
    • meeple.fr
Re: [Forum] What next ?
« Reply #539 on: 28 August, 2012, 14:56:23 »
Voilà, ça doit être corrigé :D :D
Les effets, ok.
Quid de la cause ?