[Forum] What next ?

[lock07]

Entre mon pc du boulot et mes pc persos il n'y a pas d'échanges de fichiers. Infection par un site ?
Je n'ai jamais eu le problème avant de tester le méthode par la recherche google indiquée plus haut par je ne sais plus qui.
Je vais voir si je peux tester depuis d'autres PC au bureau.

[tam]

perso ça arrive (de temps en temps genre 1 fois sur 10) sur toutes mes machines (pc "famille", pc perso, pc boulot...)
et ça n'arrive QUE sur nespas, jamais ça ne m'est arrivé sur un autre site
j'ouvre généralement nespas en sélectionnant un de mes bookmarks depuis igoogle (qui contient tous les bookmarks que j'ouvre à chaque session, encore une fois seul nespas a posé problème)

alors je suis pas à l'abri de virus et malwares... mais là on parle quand même d'un truc un peu particulier tu avoueras, c'est pas un redirect beta qui harponne mes recherches google hein, faudrait déjà que quelqu'un ait sacrément maille à partir avec nespas pour faire un truc pareil

ce qui m'amène à penser comme lock, à savoir un problème coté serveur, un truc qui toucherait les fichiers .htaccess ou je ne sais quoi ? (là on sort de mon domaine de compétence)

[High_Cobra]

Pour en être certain il faudrait le code source de la page d'accueil du site.

Je l'ai regardé, sans doute pas assez en détail mais ça ne m'es jamais arrivé non plus...

[gnocchi]

J'ai dégainé wireshark et voilà ce qui en ressort :

Quand on n'a pas de cookie nommé WCo appartenant au domaine jenesuis.net et que l'on clique sur un lien google pointant vers www.jenesuis.net alors www.jenesuis.net crée le dit cookie avec une durée de vie de quelques jours puis renvoie le code suivant :

Code Sélectionner Étendre

HTTP/1.1 302 Found
Date: Tue, 28 Aug 2012 10:23:49 GMT
Server: Apache/2.2.9 (Debian) DAV/2 SVN/1.5.1 PHP/5.3.5-0.dotdeb.0 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g
Set-Cookie: WCo=24; path=/; domain=www.jenesuis.net; expires=Tue, 04-Sep-2012 16:13:49 GMT
Location: http://3364.reefclown.com/url?sa=X&source=web&cd=46&ved=0uzO6p1DH&
url=http://www.jenesuis.net/&ei=2ZUhc6XK46u3ro2PxlU38pa1pw==&usg=SK3jYyj-DT3M81HHwsrB1C&sig2=0rE9qf6FFkfheRGvcsHHiw
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 433
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1



Code Sélectionner Étendre

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">\n
<html><head>\n
<title>302 Found</title>\n
</head><body>\n
<h1>Found</h1>\n
[truncated] <p>The document has moved <a href="http://3364.reefclown.com/url?sa=X&amp;source=web&amp;cd=46&amp;ved=0uzO6p1DH&amp;url=http:
//www.jenesuis.net/&amp;ei=2ZUhc6XK46u3ro2PxlU38pa1pw==&amp;usg=SK3jYyj-DT3M81HHwsrB1C&amp;sig2=0rE9q
<hr>\n
<address>Apache/2.2.9 (Debian) DAV/2 SVN/1.5.1 PHP/5.3.5-0.dotdeb.0 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g Server at [url=http://www.jenesuis.net]www.jenesuis.net[/url] Port 80</address>\n
</body></html>\n


Quand le cookie existe, on arrive bien sur l'index de www.jenesuis.net


Il me parait assez évident que le problème est situé côté serveur.

[High_Cobra]

Vais regarder coté serveur alors...

Merci pour la recherche gnocchi !

[gnocchi]

Voilà les entêtes http

Code Sélectionner Étendre


http://www.jenesuis.net/

GET / HTTP/1.1
Host: [url=http://www.jenesuis.net]www.jenesuis.net[/url]
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: keep-alive
Referer: http://www.google.fr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CCQQFjAA&url=http%3A%2F%2Fwww.jenesuis.net%2F&ei=Ibc8UJ6AI8qp0AXt3ICgBA&usg=AFQjCNGssGLgH8ltV5L-LgXeVmvEM6JAmg&sig2=pU-y5yz6zB7ZHVABSRVeBg
Cookie: __utma=156530592.1683852618.1346149930.1346149930.1346149930.1; __utmz=156530592.1346149930.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); PHPSESSID=3111a72a30cca2ebbc46eac8905f2abd;
NESPAS=a%3A4%3A%7Bi%3A0%3Bs%3A1%3A%228%22%3Bi%3A1%3Bs%3A40%3A%225717588fc2f46d66895d870919bc5f66c2c20df0%22%3Bi%3A2%3Bi%3A1535366299%3Bi%3A3%3Bi%3A0%3B%7D; __utmc=156530592

HTTP/1.1 302 Found
Date: Tue, 28 Aug 2012 12:19:37 GMT
Server: Apache/2.2.9 (Debian) DAV/2 SVN/1.5.1 PHP/5.3.5-0.dotdeb.0 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g
Set-Cookie: WCo=24; path=/; domain=www.jenesuis.net; expires=Tue, 04-Sep-2012 18:09:37 GMT
Location: http://4403.reefclown.com/url?sa=X&source=web&cd=46&ved=0uzO6p1DH&url=http://www.jenesuis.net/&ei=2ZUhc6XK46u3ro2PxlU38pa1pw==&usg=SK3jYyj-DT3M81HHwsrB1C&sig2=0rE9qf6FFkfheRGvcsHHiw
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 433
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1


Je n'y connais pas grand chose, mais à priori tout se joue là :
Set-Cookie: WCo=24; path=/; domain=www.jenesuis.net; expires=Tue, 04-Sep-2012 18:09:37 GMT
Location: http:/ /4403.reefclown.com/[snip]

[Sto]

Pour le coup, c'est flippant, mais, c'est pas systématique, ce comportement, on est bien d'accord ?
J'ai beau vider mes cookies, essayer avec de nouveaux navigateurs, pas une fois je ne rencontre le problème...
J'ai essayé de passer par Google aussi.

[High_Cobra]

bah je suis en train de fouiller le serveur de fond en comble et pour le moment, je ne trouve rien...

en plus, c'est loin d'être le seul site hébergé sur ce serveur et le problème a l'air d'être limité à NesPas, bizarre...

[Sto]

T'as accès au access.log d'Apache ?
Si oui, il serait intéressant de voir si la requête des gens qui ont ce problème arrive jusqu'au serveur.

Edit: Envoie le .htaccess pour voir ?
(Ça ressemblerait à ça, et reefclown est dans la liste.)
Va falloir taper sur les doigts de l'hébergeur, là, non ?

[High_Cobra]

Je pense que j'ai trouvé...

Merci Sto pour la piste !

Edit : Ja'vais pas vu ta modif de message mais ça y ressemble fort !

Planqué après 1000 lignes blanches dans le fichier...

[Sto]

Testé avec un wget chez moi, et le problème se présente.
Se pourrait-il qu'un navigateur à jour rejette la redirection foireuse ?

[High_Cobra]

Voilà, ça doit être corrigé

[Sto]

1573:RewriteCond %{HTTP_USER_AGENT} .*Windows.* [NC]

Pour tous ceux qui ne l'ont pas eu.

[gnocchi]

Je revenais pour poster cette URL.
Il faut remplir un certain nombre de conditions pour subir la redirection et apparemment les Mac users ne sont pas concernés puisque l'idée c'est de faire exécuter un exécutable windows derrière.

[gnocchi]

Voilà, ça doit être corrigé

Les effets, ok.
Quid de la cause ?