ABAKUS

Das ist ja gemein: Wenn man sich diese 4 Seiten mit aktiviertem JavaScript anschaut, dann sieht man ganz normale Homepages:

• leitner.de
• ng-software.de
• liegl-wohntraeume.de
• die-finca.com

Aber bei de-aktiviertem JavaScript erscheint "unter" den Homepages plötzlich eine ellenlange Liste mit Links.

Die Homepage-Betreiber werden das wohl gar nicht bemerken, wenn sie JavaScript aktiviert haben.

Habe die besagten Firmen mal angerufen die sind vom Hocker gefallen wo ich ihnen das gezeigt habe per Telefon Aber man hilft ja gerne

und haben sie dich gleich als SEO engagieren wollen?

Nicht ganz aber die eine Firma meinte gleich so unser Seo war mal unser Seo nun

Der ist jetzt bestimmt SEO beim Arbeitsamt löl

kann auch eine cms sicherheitsluecke sein. letzens auch erst wieder gesehen, sogar auf webseiten von politikern (ja, solchen schweinkram schau ich mir an!) und darunter dann massenweise pharma-links auf ne unterseite von einem recht harmlos aussehenden shop mit putzigem flash-intro.

nerd hat geschrieben:kann auch eine cms sicherheitsluecke sein.

Glaube ich nicht. Mir sind bis jetzt zwei dieser Attacken untergekommen. Einmal war es ein Forum, ein weiteres Mal ein CMS. Die Attacke ist scheinbar NUR über FTP erfolgt. In beiden Fällen sind "schwache" FTP-Passwörter verwendet worden. In dem einen Fall wurde das FTP-Passwort sofort durch ein wesentlich stärkeres ersetzt. Im zweiten Fall wurde das FTP-Passwort nicht verändert, da nicht klar war, wie der Angriff zustande kam (FTP oder CMS-Admin-Login oder Provider). Nach dem "reinigen" der Homepage erfolgte ca. 4 Stunden später der gleiche Angriff noch einmal. Erst dann wurde auch bei der zweiten Homepage auf ein stärkeres FTP-Passwort umgestellt. Und jetzt ist Ruhe.

Hintergrund:
Zuerst viel mir in der Google Webmaster-Zentrale auf, daß auf einmal sehr viele Zugriffe über Stichworte aus dem Erotik-Bereich stattgefunden haben.

Per FTP sah ich dann folgendes:
Im Root Verzeichnis befanden sich ca. 230 Dateien zwischen 80 und 150 Kb; insgesamt ca.25 Mb. Die Dateinamen waren an vorhandene Dateinamen "angelehnt". Es gab z.B. eine reguläre Datei "andere-verweise.html". Die neuen Dateien lauteten dann z.B.:
a_ndere-verweise.html
andere-verweis_e.html
andere-verweise0.html
andere-verweise9.html
andere-_erweis_e.html
andere-ver_eise7.html, etc.

Zusätzlich gab es ein Unterverzeichnis namens "_img" mit 260 Dateien zwischen 75 und 150 Kb; insgesamt ca. 28 Mb. Wieder mit diesen komischen Namensvariationen.
Jede dieser Dateien enthielt eine Sammlung von ca. 500 Links (ca. 100 unterschiedliche Domains) aus dem Erotik-Bereich. Die Links führten zu anderen Homepages – wohl allesamt harmlose, ebenfalls gekaperte Seiten.

Zusätzlich gab es ein weiteres Unterverzeichnis mit dem Namen "_images". Darin befand sich eine englische Homepage mit scheinbar "harmlosen" Inhalt.
Einmal ging es um "afrikanische Rezepte", zum anderen um "Vermietung von Ferienwohnungen in Kanada". Alles ohne Firmenname, Adresse, Tel.Nr. oder eMail-Adresse. Diese Verzeichnisse enthielten ca. 3400 Dateien zwischen 9 und 13 Kb; insgesamt ca. 35 Mb. Die Dateinamen kamen aus dem Erotik-Bereich; z.B. "webcam-stripping.html", "ways-to-pleasure-women.html" um mal ein paar harmlose Wortschöpfungen zu nennen. In allen diesen Dateien war ein verschlüsseltes JavaScript-Modul eingebettet, das von einer anderen Internet-Seite versuchte einen Virus ("virtumonde") nachzuladen und unterzuschieben. Es ging ein PopUp-Fenster auf mit dem Inhalt:

"Your computer is running slower than normal, maybe it is infected with with Viruses, Adware or Spyware. MS Antivirus will perform a quick and completely FREE scan of your system for malicious software. Download MS Antivirus for FREE now! OK Abbrechen"

Wahrscheinlich würde der Virus sowohl beim Klick auf "OK" als auch "Abbrechen" erst installiert.

Bei der Kontrolle der FTP-Log Dateien konnte ich folgendes nachlesen: Zuerst wurde immer eine Datei Namens "Test1234.html" hochgeladen – und dann sofort wieder gelöscht. Vermutlich um zu testen, ob der FTP-Upload funktionierte. Dann begann der Upload der Dateien. Am Upload waren nacheinander ca. 10 IP-Adressen beteiligt aus unterschiedlichen Herkunftsländern (Spanien, Italien, Brasilien, Israel). Der Upload der "Hompage" in das Verzeichnis "_images" fand mit einer Zeitverzögerung von ca. 1 Stunde statt – Arbeitsteilung ?

Scheinbar wurden hier zwei Strategien kombiniert:
Zum einen eine harmlos erscheinende Homepage aber mit Dateinamen aus dem Erotik-Bereich, die jeweils Versuchten einen Virus unterzuschieben.
Zum anderen eine riesige Link-Farm.

Starreporter hat geschrieben:Habe die besagten Firmen mal angerufen die sind vom Hocker gefallen

Danke für diesen ersten Schritt. Wer übernimmt die restlichen 100 (oder 1000) ? Die meisten dürften sich im Ausland befinden ...

Noch eine Anmerkung:
Google listet nun in der Webmaster-Zentrale ca. 1500 interne Links die nicht mehr erreichbar sind.
Altavista meldet ca. 5000 Links von externen Seiten.
Wie sich das SEO technisch auswirkt, weiß ich jetzt noch nicht.

Also gab es mal ca. 5000 Seiten die ebenfalls auf diese Weise gehackt wurden.
Hier mal eine Übersicht, wie weltweit dieser Hack verbreitet ist:

• frutoamarelo.com.br
• floriplast.sk
• foresthigh.co.za
• footballtillidie.co.uk
• alasus.com.ar
• flojhar.hr
• fraggle.at
• conraths.de
• frantzentagfacade.dk
• beursfaciliteiten.nl/index2r.html
• beas-beautyoase.ch

Unfassbar wie krank manche Leute sind. Würde ja jetzt am liebsten die Firmen alle mal anrufen aber ehrlich gesagt würde das nie ein Ende finden.

Das fiese daran ist ja auch, daß einige Seitenbetreiber diesen Hack selbst nicht sehen, weil sie beim Betrachten der eigenen Homepage JavaScript aktiviert haben.
Und Such-Roboter, die vorbeikommen, arbeiten ja meist ohne JavaScript – und diese "sehen" somit die ganzen Links.
Einige Webseiten scheinen mittlerweile auch geschlossen zu sein – wegen zu hohem Traffic-Aufkommen.

Hallo zusammen,

wir haben auf unserer Seite www.triplestyle.de genau das gleiche Problem gehabt. Und das ganze sogar zweimal.

Das ganze hat damit angefangen, dass ich auf einmal massenhafte Zugriffe von einem angeblichen Yahoo Bot bekommen habe. Das die Ip-Adressen aber immer alle irgendwo aus China waren, hat mich das doch sehr gewundert. Dann habe ich mal überprüft, worauf dieser Bot denn die ganze Zeit zugreifen möchte. Und siehe da: Fast genau die gleichen Dateien, wie oben schon beschrieben. Auf jeden Fall war der Aufbau dieser Dateien identisch mit dem, wie es auch oben schon geschrieben wurde. Ich habe mir die Dateien mal angesehen. Vom optischen her war es immer eine augenscheinliche W3C Seite. Deaktieveirt man nun aber alle CSS Styles, hat man jede Menge Links zu anderen Seiten vor Auge, die teilweise auch Linktexte wie sex, nude u.s.w. hatten. Soweit so gut. Habe die Sachen alle gelöscht und dachte das Problem wäre beseitigt. Dennoch wurden die Zugriffe der angebelichen Yahoo Bots nicht weniger. Es wurde immer wieder versucht dieses komischen Datein zu erreichen. Nach weiteren Analysen ist mir aufgefallen, dass ich laut dem Yahoo Sitexplorer über 20.000 domain-backlinks hatte. Und da wurde mir klar, was das ganze auf sich hat.

Wer auch immer dahinter steckt, hat irgendwie Zugriff auf meinen FTP-Server bekommen un dort die besagten Dateien abgelegt. Diese Links von denen ich gerade gesprochen habe zeigen zu Seiten, denen wohl das gleiche wie mir passiert ist und zu Seiten, die Viren enthalten. Das ganze ist ein Netzwerk und zwar eine Linkfarm. Diese Netzwerk bewirkt, dass du von allen Seiten, die auch davon betroffen sind, automatisch Backlinks auf deine eigenen gehackten Seiten bekommst und das ganze wie ein endloser Kreislauf sich ausbreitet. Somit hat man auf einen Schalg sehr sehr sehr viele Backlinks.

Auswirkung bei Google: Unsere Seite war mit einigen in unserer Branche bekannten Keywords relativ gut platziert gewesen. Nachdem aber das ganze passiert ist, waren wir organisch tot. Ich kann es euch nicht beweisen, aber anhand meiner Analyse bin ich mir zu 100% sicher, dass wir von Google abgesraft worden sind. Nun kam die Frage aller Fragen: Warum? Nun ja, Leute die sich mit Linkaufbau ein wenig auskennen, werden mir wohl zustimmen, dass Google ziemlich sauer wird, wenn eine Domain von einem auf den anderen Tag auf einmal über 20.000 Backlinks mehr hat.

Problembehebung / Lösungen: Nun da wir wussten, womit wir es hier zu tun haben, brauchten wir Lösungen um das ganze wieder Rückgängig zu machen. Das ist aber gar nicht so einfach, da es einfach nicht zu schaffen ist, jeder dieser einzelnen gehackten Seiten zu kontaktieren, um denen zu sagen, dass die Ihre Seite mal überprüfen sollen und die Links auf uns bzw. alle gehackten Seiten entfernen sollen.

Und wie oben ja auch schon geschrieben wurde, merkt man das selber so gar nicht, außer man deaktiviert Javascript und / oder CSS Styles. Und bevor ich es vergesse: Die Links auf den gehackten Seiten waren alle mit dem Tag "dofollow" versehen. Was für ein Zufall.

Fazit: Ich gehe mal davon aus, dass es noch mehrere Jahre, wenn nicht sogar Jahrzente dauern wird, bis alle Backlinks zu unserer Domain verschwunden sind. Außer Google ändert seine Crawling-Technologie. Z.B. sollten sofort bei Google Alarmglocken angehen, wenn er sowas sieht: <div style="position: absolute; left: -5000px; font-size: 1; height: 1; width: 1; overflow: hidden;">. Somit erreichen die nämlich, dass man selber erst gar nicht die Links zu sehen bekommt.

Was heißt das nun für uns. Wir brauchen eine neuen Domain.

Jetzt bleibt aber immer noch eine Frage, wo ich überglücklich über eine Antwort wäre: Wie haben die es geschafft auf unseren Server Dateien abzulgen bzw. Dateien zu beschreiben?????

Da wir das Schopsystem XT-Commerce benutzen, hatte ich gedacht, es gibt vielleicht dort eine Sicherheitslücke. Aber da ich im Internet über solch eine Sicherheitslücke nichts gefunden habe und es wahrscheinlich dann auch viele viele andere Shops getroffen hätte, wo ich aber keinen von finden konnte (nach langer langer Recherche), kann ich das wohl ausschließen. Ich habe mir mal dann auch die gehackten Seiten die zu uns zeigen genauer angeguckt. Dort konnte ich keine Regelmäßigkeiten feststellen, wie z.B immer das gleiche CMS oder immer das gleiche Shopsystem.

Und ab hier wieß ich leider nicht mehr weiter. Aber vielleicht ließt das hier ja einer, der sich mit dieser Thematik auskennt oder den das gleiche passiert ist und eine Lösung hat.

Ich bedanke mich jetzt schon für alle die mir/uns irgendwie weiter helfen können. Denn auch wenn ich die Domain höchstwahrscheinlich wegschmeißen kann, will ich trotzdem wissen, wie diese ****** Zugang bekommen konnten um nicht nochmal sowas zu haben.

Ich hoffe das hier ist auch einen kleine Hilfe für diejenigen, denen das gleiche unterlaufen ist und genauso ratlos am Anfang wie ich waren.

Gruß

Daniel

P.S.: Achtet nicht auf meine Rechtschreibfehler. War beim schreiben ziemlich aufgelöst.

Wer auch immer dahinter steckt, hat irgendwie Zugriff auf meinen FTP-Server bekommen un dort die besagten Dateien abgelegt. Diese Links von denen ich gerade gesprochen habe zeigen zu Seiten, denen wohl das gleiche wie mir passiert ist und zu Seiten, die Viren enthalten. Das ganze ist ein Netzwerk und zwar eine Linkfarm. Diese Netzwerk bewirkt, dass du von allen Seiten, die auch davon betroffen sind, automatisch Backlinks auf deine eigenen gehackten Seiten bekommst und das ganze wie ein endloser Kreislauf sich ausbreitet. Somit hat man auf einen Schalg sehr sehr sehr viele Backlinks. <<<<<< Dahinter steckt Jason Thailor, USA, 47-47 36th Street,ip wird nicht hier gepostet, verlinkt wurdest du von Linkprotektor,gesetzt wurden intervall 378 Backlinks im ersten Monat.danach Tendenz steigend 30-40-50 er schritte.Dein Ftp Server enthält nen Order der da nicht hingehört. Gesetzt wurden xxx Links sowei zu Hacker und crack seiten.

Die Frage warum, kannst nur du selbst beantworten.

Dein endloser Kreislauf befindet sich im Ordner auf deinem Server.