Webseite kopiert – Was tun?

Viewing 18 reply threads
  • Autor
    Beiträge
    • 25. März 2013 um 17:06 #1208
      Philipp Tusch
      Mitglied

      Hi,

      mein Name ist Philipp Tusch. Ich habe aktuell ein ziemlich außergewöhnliches Problem, was einem sicherlich nicht jeden Tag über den Weg läuft. Das Problem liegt zwischen dreister Meisterleistung und unverschämten Kopieren.

      Folgendes: Ich bin Chefredakteur in einem gut besuchten Blog, der auf einem Hetzner managed Server läuft und dessen Lunge sich WordPress nennt. Heute habe ich etwas bemerkt, dass mich auf den ersten Blick umgehauen hat! Der Blog wurde ohne Scharm 1 zu 1 kopiert. Alle Artikel, das Design, alle Seiten, alle Kommentare. Alles. Ja, sogar das Impressum. Das Mysteriöse dabei: Tätige ich eine Änderung auf meinem Blog, dann ist sie in sekundenschnelle auch auf der Fake-Seite. Fast wie ein iFrame, wenns nur ein wäre…

      Der Punkt ist, dass die Fake-Seite, welche auf GoDaddy liegt und zwei IP-Adressen hat, alle Artikel und Ähnliches in Echtzeit übernimmt. Wie soll das gehen? Meine Vermutungen gehen in Einvernehmen mit bisherigen Befragten in zwei Richtungen. A: Die Fake-Seite zapft – wie auch immer – unsere Datenbank an. B: Die Fake-Seite crawlt sehr, sehr häufig unsere Seite und übernimmt das dann.

      Meine Frage an euch: Habt ihr Ideen, wie der Faker/Hacker das macht? Was können wir tun? Ich freue mich auf jegliche Art von Antworten.

      Mit besten Grüßen,

      Philipp

    • 25. März 2013 um 17:51 #1209
      Consi
      Mitglied

      Hallo Philipp,

      dein Problem ist gar nicht so selten, wie man sich das vielleicht vorstellt. Zunächst einmal ist es so, dass WordPress bei jeder Änderung einen Ping absendet. Diesen Ping wird man sicherlich abfangen und dann deine Seite crawlen, oder eben direkt deinen Feed einlesen. Also ein gar nicht so dummes System, wie man es sonst noch kennt.

      Sprich mal mit deiner Technik: Der Crawler muss definitiv enttarnbar sein. Demnach kannst du ihm dann auch andere Inhalte ausspielen oder den Zugriff verweigern. Letzteres kann Hetzner sicherlich auf Zuruf übernehmen – gute Provider machen das, du musst Ihnen nur die IP zur Sperrung nennen.

      Wenn die wirkliche alle Inhalte übernehmen, kannst du einen Canonical-Tag einbauen, welches auf dich selbst verlinkt. Dann kommt das Zeug zumindest nicht mehr in den Index. Zusätzlich kannst du einen Spam-Request an Google stellen – aber die erkennen das wahrscheinlich auch automatisch.

      Zusätzlich würde ich mich mit dem Problem, zur Not mit juristischer Hilfe, an GoDaddy wenden.

    • 25. März 2013 um 18:23 #1210
      Philipp Tusch
      Mitglied

      Hallo Consi,

      Danke für die fixe Antwort. Mit Hetzner habe ich schon gesprochen, die haben in den Logs keine Auffälligkeiten erkannt. Es stellt sich die Frage, wie ich die IP herausfinde. Der Crawler müsste theoretisch ja jede Sekunde crawlen oder wie ist das? Weil die Inhalte ja innerhalb von Sekunden auf der Fake-Seite sind.

      Über den Canonial-Tag werde ich mich mal informieren.

      Sowohl Google als auch GoDaddy sind bereits informiert, mal schauen, was sich ergibt.

       

    • 25. März 2013 um 18:34 #1211
      Stefan Wienströer
      Mitglied

      Hallo Philipp,

      theoretisch gibt es auch noch weitere Möglichkeiten:

      – Der Besitzer der Domains hat einfach seine Domain deinem Server zugeordnet (über CNAME z.B.)  das würde dann erklären, warum das komplette Design usw. übernommen wurde (oder haben die noch Werbung reingebaut/ausgetauscht?).

      – Wie Consi schon schrieb, die crawlen nicht jede Sekunde, sondern werden von WordPress benachrichtigt, wenn eine Änderung vorliegt. Vielleicht crawlen sie auch erst, wenn ein User deren Seite besucht. Das würde denen dann Ressourcen einsparen (danach speichern sie die Sachen dann zwischen, um Zugriffe zu minimieren)

      Häng mal einen ausgedachten Parameter an die Url des Diebes und schaue danach in deine (Apache-)logs, ob es einen Zugriff bei dir mit  genau den gleichen Parameter gibt. Dann hast du evtl. schon die IP des Crawlers (oder deine eigene  ;-)).

      Wenn du schon zwei IPs hast, kannst du diese auch einfach aussperren (z.B. über htaccess).

    • 25. März 2013 um 18:36 #1212
      Michael Boenigk
      Mitglied

      Hi Philipp,

      nein, der Crawler muss nur dann kommen wenn ein neuer Inhalt verfügbar ist. Wie Consi schon gesagt hat, sendet WordPress bei einem neuen Artikel einen Ping an so genannte Pingdienste. Diese Pingdienste kann man soweit ich das weiß abfragen bzw. sich von ihnen informieren lassen. Wenn er die Information über einen neuen Artikel erhält, kommt der Crawler dann vorbei und übernimmt den neuen Artikel.

      Trotzdem würde ich einen Hack zu Sicherheit mal nicht ausschließen. Hast du vielleicht in der letzten Zeit ein neues Plugin installiert oder ähnliches?

    • 25. März 2013 um 18:45 #1213
      Consi
      Mitglied

      Hallo Philipp,

      der Crawler muss eben nicht jede Sekunde vorbeikommen, sondern nur, wenn du ihm mittels Ping signalisiert, wo sich etwas verändert hat. Damit braucht der Crawler pro Änderung nur einen gezielten Zugriff und ist damit via einfachem Logfile nur schwer zu erkennen. Spammer geben sich in der Regel auch als Google-Bot aus, was die Erkennung nochmals erschwert.

      Normal sollte es aber via Rechtsanwalt und Godaddy funktionieren.

    • 25. März 2013 um 18:46 #1214
      Philipp Tusch
      Mitglied

      @Stefan Der Besitzer hat fast alle E-Mail Adressen geändert. Die Werbung ist sicherlich auch ausgetauscht. Sonst würde es für den ja relativ wenig Sinn machen. Das Motiv ist mir generell unklar. Den Tipp versuche ich mal, danke.

      @Michael @Consi Wenn ich eine Änderung in HTML-Dokumenten tätige, wird dann auch ein Ping gesendet?

      @Michael Ich habe das Plugin AuthorSure installiert und gelöscht. Steht erstmal unter General-Verdacht, wobei ich jetzt nicht davon ausgehe, dass dieses Plugin irgendwie Schuld ist…

      Danke soweit für euer Engagement.

    • 25. März 2013 um 18:59 #1217
      Stefan Wienströer
      Mitglied

      Wenn er auch Designänderungen übernimmt, kannst du ja mal ein wenig mit JavaScript rumspielen. Checkst, ob die Domain (window.location.host) die deines Content-Diebs ist und machst dann coole Sachen damit. Z.B. Weiterleitung auf deine Seite, Design zerstören oder auch die Seite komplett mit deiner Werbung zumüllen 😉

    • 25. März 2013 um 19:44 #1218
      Consi
      Mitglied

      Philipp, Änderung am Design führen meines Wissens nach nicht zum Versenden eines Pings. Dies betrifft nur den Content.

    • 25. März 2013 um 19:51 #1219
      Michael Boenigk
      Mitglied

      Also wenn du die Änderungen im Code selbst machst (html Dokument runterladen, verändern und wieder hochladen) dann wird kein Ping gesendet. Wenn du in WordPress ein Artikel aktualisiert, dann wird ein neuer Ping gesendet. Änderungen am Design senden keinen Ping.

    • 25. März 2013 um 19:54 #1220
      Philipp Tusch
      Mitglied

      Hey,

      danke erstmal für eure Hilfe. Die Fake-Seite ist vom Provider ziemlich schnell vom Netz genommen worden. Hoffe, dass das so bleibt 😀

      Philipp

    • 25. März 2013 um 21:40 #1222
      Michael Boenigk
      Mitglied

      Super, freut mich 🙂

    • 26. März 2013 um 15:56 #1229
      Philipp Tusch
      Mitglied

      Problem: Die Fake-Seite ist wieder da. Vielleicht schaut ihr euch das mal an: apfelpage [punkt] com

      Was kann ich noch tun? Das mit dem Parameter habe ich versucht, da ist eine IP herausgekommen, die sich als „Mediapartner Google“ ausgibt. Wie kann ich die aussperren, es ist nicht Google.

    • 26. März 2013 um 16:06 #1230
      Philipp Tusch
      Mitglied

      So, habe jetzt in die htaccess folgendes eingetragen. Jetzt gibt es eine Error auf der Fake-Seite. Mal schauen, wie lange das wiederum hält.

      # IP-Sperre
      order allow,deny
      deny from ##IP##
      allow from all

    • 26. März 2013 um 18:44 #1231
      Michael Boenigk
      Mitglied

      Hi Philipp,

      in einer SEO-Community auf Google+ ist soeben ein ähnliches Problem aufgetaucht. Vielleicht könnt ihr beiden euch gegenseitig helfen? Guck mal hier: https://plus.google.com/u/0/111341364283079760535/posts/jnSnLnVmLKY. Scheint ähnlich zu sein.

      Grüße

      Micha

    • 26. März 2013 um 20:39 #1234
      Philipp Tusch
      Mitglied

      Ich habe eben auch ein paar andere Blogs auf die Kopie aufmerksam gemacht. Scheint gerade im Umlauf zu sein, ziemlich komisch.

      UPDATE: Der Vollständigkeit halber, hier ein Lösungsansatz basierend auf den Kommentaren oben (Auszug auf G+).

      Folgendes: Hänge einen ausgedachten Parameter (z.B ?x=test) an die Fake-Domain. Am nächsten Tag schaust du in deine Logs und suchst nach Zugriffen mit diesem Parameter. Du wirst eine IP finden, die sich als Google ausgibt („Mediapartner Google“) Es ist nicht Google. Diese IP sperrst du via htaccess aus. Dabei musst du die letzten drei Zahlen der IP weglassen, weil die sich ändern könnten. Bei mir hat es geklappt. Die Fake-Seite zeigt einen Error an. Viel Glück.

    • 26. März 2013 um 21:35 #1235
      Stefan Wienströer
      Mitglied

      Da würde ich vorsichtig sein. Sonst sperrst du evtl. auch normale Besucher aus dem gleichen Netz aus.

       

    • 26. März 2013 um 21:56 #1236
      Philipp Tusch
      Mitglied

      Wohl war. Ein gewisses Restrisiko lässt sich nicht von der Hand weisen. Aber bisher habe ich nicht von Problemen erfahren und ich hoffe, das bleibt so.

    • 4. April 2013 um 12:25 #1287
      Timo Fach
      Mitglied

      Deine Webseite ist möglicherweise Teil eines Affiliatebetrugsnetzwerkes geworden. Technisch funktionieren diese Kopien ähnlich wie Proxies. Anfragen an die falsche Domain werden direkt weitergereicht an die Originalwebseite. So ist der Inhalt immer identisch.

  • Autor
    Beiträge
Viewing 18 reply threads
  • Du musst angemeldet sein, um zu diesem Thema eine Antwort verfassen zu können.