[Philipp Tusch]

Hi,

mein Name ist Philipp Tusch. Ich habe aktuell ein ziemlich außergewöhnliches Problem, was einem sicherlich nicht jeden Tag über den Weg läuft. Das Problem liegt zwischen dreister Meisterleistung und unverschämten Kopieren.

Folgendes: Ich bin Chefredakteur in einem gut besuchten Blog, der auf einem Hetzner managed Server läuft und dessen Lunge sich WordPress nennt. Heute habe ich etwas bemerkt, dass mich auf den ersten Blick umgehauen hat! Der Blog wurde ohne Scharm 1 zu 1 kopiert. Alle Artikel, das Design, alle Seiten, alle Kommentare. Alles. Ja, sogar das Impressum. Das Mysteriöse dabei: Tätige ich eine Änderung auf meinem Blog, dann ist sie in sekundenschnelle auch auf der Fake-Seite. Fast wie ein iFrame, wenns nur ein wäre…

Der Punkt ist, dass die Fake-Seite, welche auf GoDaddy liegt und zwei IP-Adressen hat, alle Artikel und Ähnliches in Echtzeit übernimmt. Wie soll das gehen? Meine Vermutungen gehen in Einvernehmen mit bisherigen Befragten in zwei Richtungen. A: Die Fake-Seite zapft – wie auch immer – unsere Datenbank an. B: Die Fake-Seite crawlt sehr, sehr häufig unsere Seite und übernimmt das dann.

Meine Frage an euch: Habt ihr Ideen, wie der Faker/Hacker das macht? Was können wir tun? Ich freue mich auf jegliche Art von Antworten.

Mit besten Grüßen,

Philipp

[Consi]

Hallo Philipp,

dein Problem ist gar nicht so selten, wie man sich das vielleicht vorstellt. Zunächst einmal ist es so, dass WordPress bei jeder Änderung einen Ping absendet. Diesen Ping wird man sicherlich abfangen und dann deine Seite crawlen, oder eben direkt deinen Feed einlesen. Also ein gar nicht so dummes System, wie man es sonst noch kennt.

Sprich mal mit deiner Technik: Der Crawler muss definitiv enttarnbar sein. Demnach kannst du ihm dann auch andere Inhalte ausspielen oder den Zugriff verweigern. Letzteres kann Hetzner sicherlich auf Zuruf übernehmen – gute Provider machen das, du musst Ihnen nur die IP zur Sperrung nennen.

Wenn die wirkliche alle Inhalte übernehmen, kannst du einen Canonical-Tag einbauen, welches auf dich selbst verlinkt. Dann kommt das Zeug zumindest nicht mehr in den Index. Zusätzlich kannst du einen Spam-Request an Google stellen – aber die erkennen das wahrscheinlich auch automatisch.

Zusätzlich würde ich mich mit dem Problem, zur Not mit juristischer Hilfe, an GoDaddy wenden.

[Philipp Tusch]

Hallo Consi,

Danke für die fixe Antwort. Mit Hetzner habe ich schon gesprochen, die haben in den Logs keine Auffälligkeiten erkannt. Es stellt sich die Frage, wie ich die IP herausfinde. Der Crawler müsste theoretisch ja jede Sekunde crawlen oder wie ist das? Weil die Inhalte ja innerhalb von Sekunden auf der Fake-Seite sind.

Über den Canonial-Tag werde ich mich mal informieren.

Sowohl Google als auch GoDaddy sind bereits informiert, mal schauen, was sich ergibt.

 

[Stefan Wienströer]

Hallo Philipp,

theoretisch gibt es auch noch weitere Möglichkeiten:

– Der Besitzer der Domains hat einfach seine Domain deinem Server zugeordnet (über CNAME z.B.)  das würde dann erklären, warum das komplette Design usw. übernommen wurde (oder haben die noch Werbung reingebaut/ausgetauscht?).

– Wie Consi schon schrieb, die crawlen nicht jede Sekunde, sondern werden von WordPress benachrichtigt, wenn eine Änderung vorliegt. Vielleicht crawlen sie auch erst, wenn ein User deren Seite besucht. Das würde denen dann Ressourcen einsparen (danach speichern sie die Sachen dann zwischen, um Zugriffe zu minimieren)

Häng mal einen ausgedachten Parameter an die Url des Diebes und schaue danach in deine (Apache-)logs, ob es einen Zugriff bei dir mit  genau den gleichen Parameter gibt. Dann hast du evtl. schon die IP des Crawlers (oder deine eigene  ;-)).

Wenn du schon zwei IPs hast, kannst du diese auch einfach aussperren (z.B. über htaccess).

[Michael Boenigk]

Hi Philipp,

nein, der Crawler muss nur dann kommen wenn ein neuer Inhalt verfügbar ist. Wie Consi schon gesagt hat, sendet WordPress bei einem neuen Artikel einen Ping an so genannte Pingdienste. Diese Pingdienste kann man soweit ich das weiß abfragen bzw. sich von ihnen informieren lassen. Wenn er die Information über einen neuen Artikel erhält, kommt der Crawler dann vorbei und übernimmt den neuen Artikel.

Trotzdem würde ich einen Hack zu Sicherheit mal nicht ausschließen. Hast du vielleicht in der letzten Zeit ein neues Plugin installiert oder ähnliches?

[Consi]

Hallo Philipp,

der Crawler muss eben nicht jede Sekunde vorbeikommen, sondern nur, wenn du ihm mittels Ping signalisiert, wo sich etwas verändert hat. Damit braucht der Crawler pro Änderung nur einen gezielten Zugriff und ist damit via einfachem Logfile nur schwer zu erkennen. Spammer geben sich in der Regel auch als Google-Bot aus, was die Erkennung nochmals erschwert.

Normal sollte es aber via Rechtsanwalt und Godaddy funktionieren.

[Philipp Tusch]

@Stefan Der Besitzer hat fast alle E-Mail Adressen geändert. Die Werbung ist sicherlich auch ausgetauscht. Sonst würde es für den ja relativ wenig Sinn machen. Das Motiv ist mir generell unklar. Den Tipp versuche ich mal, danke.

@Michael @Consi Wenn ich eine Änderung in HTML-Dokumenten tätige, wird dann auch ein Ping gesendet?

@Michael Ich habe das Plugin AuthorSure installiert und gelöscht. Steht erstmal unter General-Verdacht, wobei ich jetzt nicht davon ausgehe, dass dieses Plugin irgendwie Schuld ist…

Danke soweit für euer Engagement.

[Stefan Wienströer]

Wenn er auch Designänderungen übernimmt, kannst du ja mal ein wenig mit JavaScript rumspielen. Checkst, ob die Domain (window.location.host) die deines Content-Diebs ist und machst dann coole Sachen damit. Z.B. Weiterleitung auf deine Seite, Design zerstören oder auch die Seite komplett mit deiner Werbung zumüllen 😉

[Consi]

Philipp, Änderung am Design führen meines Wissens nach nicht zum Versenden eines Pings. Dies betrifft nur den Content.

[Michael Boenigk]

Also wenn du die Änderungen im Code selbst machst (html Dokument runterladen, verändern und wieder hochladen) dann wird kein Ping gesendet. Wenn du in WordPress ein Artikel aktualisiert, dann wird ein neuer Ping gesendet. Änderungen am Design senden keinen Ping.

[Philipp Tusch]

Hey,

danke erstmal für eure Hilfe. Die Fake-Seite ist vom Provider ziemlich schnell vom Netz genommen worden. Hoffe, dass das so bleibt 😀

Philipp

[Michael Boenigk]

Super, freut mich 🙂

[Philipp Tusch]

Problem: Die Fake-Seite ist wieder da. Vielleicht schaut ihr euch das mal an: apfelpage [punkt] com

Was kann ich noch tun? Das mit dem Parameter habe ich versucht, da ist eine IP herausgekommen, die sich als „Mediapartner Google“ ausgibt. Wie kann ich die aussperren, es ist nicht Google.

[Philipp Tusch]

So, habe jetzt in die htaccess folgendes eingetragen. Jetzt gibt es eine Error auf der Fake-Seite. Mal schauen, wie lange das wiederum hält.

# IP-Sperre
order allow,deny
deny from ##IP##
allow from all


[Michael Boenigk]

Hi Philipp,

in einer SEO-Community auf Google+ ist soeben ein ähnliches Problem aufgetaucht. Vielleicht könnt ihr beiden euch gegenseitig helfen? Guck mal hier: https://plus.google.com/u/0/111341364283079760535/posts/jnSnLnVmLKY. Scheint ähnlich zu sein.

Grüße

Micha

[Philipp Tusch]

Ich habe eben auch ein paar andere Blogs auf die Kopie aufmerksam gemacht. Scheint gerade im Umlauf zu sein, ziemlich komisch.

UPDATE: Der Vollständigkeit halber, hier ein Lösungsansatz basierend auf den Kommentaren oben (Auszug auf G+).

Folgendes: Hänge einen ausgedachten Parameter (z.B ?x=test) an die Fake-Domain. Am nächsten Tag schaust du in deine Logs und suchst nach Zugriffen mit diesem Parameter. Du wirst eine IP finden, die sich als Google ausgibt („Mediapartner Google“) Es ist nicht Google. Diese IP sperrst du via htaccess aus. Dabei musst du die letzten drei Zahlen der IP weglassen, weil die sich ändern könnten. Bei mir hat es geklappt. Die Fake-Seite zeigt einen Error an. Viel Glück.

[Stefan Wienströer]

Da würde ich vorsichtig sein. Sonst sperrst du evtl. auch normale Besucher aus dem gleichen Netz aus.

 

[Philipp Tusch]

Wohl war. Ein gewisses Restrisiko lässt sich nicht von der Hand weisen. Aber bisher habe ich nicht von Problemen erfahren und ich hoffe, das bleibt so.

[Timo Fach]

Deine Webseite ist möglicherweise Teil eines Affiliatebetrugsnetzwerkes geworden. Technisch funktionieren diese Kopien ähnlich wie Proxies. Anfragen an die falsche Domain werden direkt weitergereicht an die Originalwebseite. So ist der Inhalt immer identisch.

[Autor]

Beiträge