Derbes Hijacking - wer weiß Rat?

[Unifex]

@ herrmeier
Zum Thema „reverse forward DNS“ kannst du die Ausführungen von incrediBILL im folgenden Thread lesen:
https://www.webmasterworld.com/google/3378200-2-30.htm

@Semtex
Ich bin genau deiner Meinung. Ich habe gerade erlebt wie dieser Proxy mit seinen popeligen 8 Pr0 links die Startseite einer Domain mir hunderten Backlinks aus dem Index gekegelt hat.
Andere Suchmaschinen haben nicht das Problem.

Ich frage mich auch, warum die Konkurrenz oder jemand anders das nicht mal in den Medien verbreitet.
Ich meine bei der Aufgeregtheit mit Phishing wäre es doch cool wenn jemand publik machen würde, das Google Originalseiten durch „Hackerseiten mit möglicherweise „Spam und Viren“ in ihren Suchergebnissen ersetzt .
Der normale Kunde kann nicht sicher sein, auch auf der Originalseite zu landen.

Das wäre wohl ein Imageschaden par excellence für Google.

[herrmeier]

Vielen Dank für den Link, Unifex: Sehr viele und gute Tipps.
Habe zwar nicht alles kapiert, doch prophylaktisch habe ich den Tag "<base href="https://www.meine-domain.de/" />" in den header eingebaut.

Eventuell bringt diese Maßnahme etwas für die Zukunft, obwohl es dazu unterschiedliche Auffassungen gibt.

Ansonsten gilt für alle Betroffenen: Spam-Report an Google schreiben.

Übrigens: Mittlerweile ist die Zah lder betroffenen Seiten auf 14.500 angewachsen.

[Jansen]

Hallo herrmeier,

das base-href-tag bringt nichts, da es vom Proxy überschrieben wird.

Die einzige Möglichkeit, Proxy-Hijacking zu verhindern und zu beenden ist ein reverse forward DNS Test der IP-Adresse, über die Googlebot auf Deine Seite zugreift.

Ich habe dazu gerade eine kleine Anleitung geschrieben.

[turgay]

Hallo miteinander,
kann mir vielleicht jemand kurz erklären, wie diese Seiten in den Index kommen? Meine triviale Vorstellung geht in die Richtung, dass die jemand einfach verlinkt ...!?

Viele Grüße

[Jansen]

Gecloakte Linklisten vom Proxy-Betreiber, offene Serverlogs...

[turgay]

Vielen Dank.

Gecloakte Linklisten vom Proxy-Betreiber, offene Serverlogs...

Das heißt aber auch, dass jemand über diesen Proxy auf meine Seite gekommen ist, oder?

[Jansen]

Nicht unbedingt.

Eine weitere Möglichkeit ist, daß Google über diesen Proxy eine Seite mit einem Link zu Dir gespidert hat und dieser Link vom Proxy 'proxyfied' wurde und Google so Deine Seite(n) gehijackt hat.

[turgay]

Vielen Dank, Jansen,
meine Site wurde zwar nicht 'proxyfied', werde aber als Vorsichtsmaßnahme das Skript aus Deiner Anleitung einbauen. Muss nur noch rausfinden, wie ich das in vBulletin integriere - schon allein als Schutz für meine Linkpartner.

Nicht unbedingt.

Eine weitere Möglichkeit ist, daß Google über diesen Proxy eine Seite mit einem Link zu Dir gespidert hat und dieser Link vom Proxy 'proxyfied' wurde und Google so Deine Seite(n) gehijackt hat.

Viele Grüße

[herrmeier]

Herzlichen Dank an Jansen!
Dank des Scripts können wir jetzt etwas optimistischer in die Zukunft blicken.

Und das Schlachtenglück hat sich im Moment gewendet: Die eigenen Seiten liegen momentan wieder vor den Seiten des Hijackers. Grund könnte sein, dass die Seite vor wenigen Tagen unglaublich starke Links bekommen hat - Glück im Unglück.

[semtex]

Herzlichen Dank an Jansen!
Dank des Scripts können wir jetzt etwas optimistischer in die Zukunft blicken.

Und was machen die Leute die einen Content aus den guten alten HTML Dateien haben ?

[herrmeier]

@semtex
Jansen arbeitet an einer .htaccess-Version. Drücken wir ihm die Daumen für das Vorhaben!

Eine gute Nachricht habe ich noch: Der Parasit hat mich aus der Umklammerung gelassen: Er taucht in den Suchergebnissen nicht mehr auf und auch nicht mehr in der inurl-Abfrage.

Mögliche Gründe könnten sein:
1. Sparm-Report mit genauer Schilderung meine Seite betreffend
2. Einträge in die .htaccess-Datei (siehe eine Seite zuvor)
3. Äußerst starke Links

[semtex]

Jansen arbeitet an einer .htaccess-Version. Drücken wir ihm die Daumen für das Vorhaben!

Ich stelle mir das gerade Bildlich vor, wie er mit einem weissen Kittel in seinem Kellerlabor sitzt und verschiedene Rules mischt.
Auf das Ergebnis bin ich natürlich auch mächtig gespannt..

[herrmeier]

@semtex
So wird es sein: Mit eifrig-besorgter Miene wiegt, mischt, schüttelt und verwirbelt Jansen seine hochgefährlichen und zugleich geheimnisvollen Web-Inkredenzien.
Ein Tröpfchen des hochexplosiven Gemisches zuviel, so es ist um Jansen mitsamt seinem Kellerlabor geschehen.
Doch wird ihm das Werk gelingen, werden sich seine Annalen unauslöschlich in die Historie des WWW einbrennen.
Möge ihm das Meisterstück gelingen!

[Jansen]

Komme gerade mit dem Kittel aus dem Kellerlabor - habe aber mehr an der Apache-Config geschüttelt als Rules gemischt.

Das Resultat gibt es hier.

[herrmeier]

Vielen Dank für die großartige Arbeit, Jensen. Eine erste gute Hilfe im Kampf gegen Schmarotzer, Zecken und anderes unnützes Getier.

Eine schlechte Nachricht: Nzzm hat mich wieder in den Fängen (mittlerweile sind 18.600 Seiten betroffen).
Hängt mit den Datencentern zusammen. Gestern nachmittag hatte ich wohl ein Center erwischt, in dem nzzm nicht gelistet war. Mal sehen wo die Reise hingeht: Nzzm fliegt überall raus oder kommt überall rein. Ich befürchte Letzteres.

Da der böse Bube sich so
www.nzzm.com/nph-proxy1.cgi/010100A/htt ... -domain.de
zeigt, wäre es als Sofortmaßnahme denkbar, einen Code für die htaccess zu schreiben, der bei der Zeichenfolge "nph-proxy" ein forbidden zurückgibt.

Meine Versuche in dieser Hinsicht sind leider fehlgeschlagen, da ich in der Materie nicht zu Hause bin.
Aber hier sind ja einige Experten ...