|
|
unawave
: 01.12.2007
: 22
: Deutschland
|
| : 02.09.2008, 10:30 : Was ist das für ein Website Hack ? |
|
|
Z.B. auf diesen Sites:- leitner.de
- ng-software.de
- liegl-wohntraeume.de
- die-finca.com
Unten sieht man massenhaft Links zu angeblichen Sex Seiten. Auch meine Site ist betroffen – gewesen. Scheint immer das gleiche System zu sein: Im Root-Verzeichnis und in neu eingerichteten Unterverzeichnissen (z.B. "_img" - die-finca.com/_img/Beispielj.html) stehen etliche 1000 Seiten die kreuz und quer verlinkt sind.
Scheint sich um den Aufbau einer Link-Farm zu handeln.- Aber welchen Sinn macht das ? Ich sehe da keine spezielle Seite die durch massenhafte Links gepusht werden soll ?
- Wie erlangt der Hacker Zugriff ? Scheint mir ein reiner FTP-Upload zu sein. Und es sind völlig unterschiedliche Systeme (CMS, Foren, Frontpage-Seiten, etc.) und unterschiedliche Provider.
|
|
| Nach oben |
|
 |
Andreas I.
: 18.03.2006
: 1426
: Hamburg
|
| : 02.09.2008, 12:23 : Was ist das für ein Website Hack ? |
|
|
Ab und zu kommt es vor, dass ein Servers eines Hosters gehackt wird und auf sämtlichen Domains werden dann irgendwelche Links eingefügt. Andere Server hacken, um Links zu platzieren, ist tiefschwarzer Blackhat!
Aber sowas gibt es tatsächlich, wie du gesehen hast! |
|
| Nach oben |
|
|
luzie
: 12.07.2007
: 3343
: Hannover, Linden-Nord
|
| : 02.09.2008, 19:16 : Was ist das für ein Website Hack ? |
|
|
@andreas:
um deine aussage zu unterstreichen - das ist nicht blackhat sondern kriminell
StGb § 263a Computerbetrug
(1) Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflußt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
(2) § 263 Abs. 2 bis 7 gilt entsprechend.
(3) Wer eine Straftat nach Absatz 1 vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, feilhält, verwahrt oder einem anderen überlässt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(4) In den Fällen des Absatzes 3 gilt § 149 Abs. 2 und 3 entsprechend.
 uzie- Google Official Bionic Top Contributor - Google Webmaster Help - SEO bei ABAKUS |
|
| Nach oben |
|
|
unawave
: 01.12.2007
: 22
: Deutschland
|
| : 10.09.2008, 16:55 : Re: Was ist das für ein Website Hack ? |
|
|
Das ist ja gemein: Wenn man sich diese 4 Seiten mit aktiviertem JavaScript anschaut, dann sieht man ganz normale Homepages:- leitner.de
- ng-software.de
- liegl-wohntraeume.de
- die-finca.com
Aber bei de-aktiviertem JavaScript erscheint "unter" den Homepages plötzlich eine ellenlange Liste mit Links.
Die Homepage-Betreiber werden das wohl gar nicht bemerken, wenn sie JavaScript aktiviert haben. |
|
| Nach oben |
|
|
Starreporter
: 30.12.2007
: 37
|
| : 11.09.2008, 10:13 : Was ist das für ein Website Hack ? |
|
|
Habe die besagten Firmen mal angerufen die sind vom Hocker gefallen wo ich ihnen das gezeigt habe per Telefon  Aber man hilft ja gerne |
|
| Nach oben |
|
|
emel
: 19.12.2007
: 1043
|
| : 11.09.2008, 10:14 : Was ist das für ein Website Hack ? |
|
|
und haben sie dich gleich als SEO engagieren wollen?
Suche / Biete L*nks - PM an mich |
|
| Nach oben |
|
|
Starreporter
: 30.12.2007
: 37
|
| : 11.09.2008, 10:17 : Was ist das für ein Website Hack ? |
|
|
Nicht ganz aber die eine Firma meinte gleich so unser Seo war mal unser Seo nun  |
|
| Nach oben |
|
|
Moritz2007
: 14.06.2008
: 1511
|
| : 11.09.2008, 22:19 : Was ist das für ein Website Hack ? |
|
|
| Der ist jetzt bestimmt SEO beim Arbeitsamt löl |
|
| Nach oben |
|
|
nerd
: 15.02.2005
: 1686
: AKL
|
| : 12.09.2008, 08:55 : Was ist das für ein Website Hack ? |
|
|
kann auch eine cms sicherheitsluecke sein. letzens auch erst wieder gesehen, sogar auf webseiten von politikern (ja, solchen schweinkram schau ich mir an!) und darunter dann massenweise pharma-links auf ne unterseite von einem recht harmlos aussehenden shop mit putzigem flash-intro.
marketing through social media is just like herding cats. and just to make it interesting, many of the cats are drunk and stupid...
blackhat linkkauf und so...  |
|
| Nach oben |
|
|
unawave
: 01.12.2007
: 22
: Deutschland
|
| : 12.09.2008, 11:25 : Was ist das für ein Website Hack ? |
|
|
| nerd hat Folgendes geschrieben: |
| kann auch eine cms sicherheitsluecke sein. |
Glaube ich nicht. Mir sind bis jetzt zwei dieser Attacken untergekommen. Einmal war es ein Forum, ein weiteres Mal ein CMS. Die Attacke ist scheinbar NUR über FTP erfolgt. In beiden Fällen sind "schwache" FTP-Passwörter verwendet worden. In dem einen Fall wurde das FTP-Passwort sofort durch ein wesentlich stärkeres ersetzt. Im zweiten Fall wurde das FTP-Passwort nicht verändert, da nicht klar war, wie der Angriff zustande kam (FTP oder CMS-Admin-Login oder Provider). Nach dem "reinigen" der Homepage erfolgte ca. 4 Stunden später der gleiche Angriff noch einmal. Erst dann wurde auch bei der zweiten Homepage auf ein stärkeres FTP-Passwort umgestellt. Und jetzt ist Ruhe.
Hintergrund:
Zuerst viel mir in der Google Webmaster-Zentrale auf, daß auf einmal sehr viele Zugriffe über Stichworte aus dem Erotik-Bereich stattgefunden haben.
Per FTP sah ich dann folgendes:
Im Root Verzeichnis befanden sich ca. 230 Dateien zwischen 80 und 150 Kb; insgesamt ca.25 Mb. Die Dateinamen waren an vorhandene Dateinamen "angelehnt". Es gab z.B. eine reguläre Datei "andere-verweise.html". Die neuen Dateien lauteten dann z.B.:
a_ndere-verweise.html
andere-verweis_e.html
andere-verweise0.html
andere-verweise9.html
andere-_erweis_e.html
andere-ver_eise7.html, etc.
Zusätzlich gab es ein Unterverzeichnis namens "_img" mit 260 Dateien zwischen 75 und 150 Kb; insgesamt ca. 28 Mb. Wieder mit diesen komischen Namensvariationen.
Jede dieser Dateien enthielt eine Sammlung von ca. 500 Links (ca. 100 unterschiedliche Domains) aus dem Erotik-Bereich. Die Links führten zu anderen Homepages – wohl allesamt harmlose, ebenfalls gekaperte Seiten.
Zusätzlich gab es ein weiteres Unterverzeichnis mit dem Namen "_images". Darin befand sich eine englische Homepage mit scheinbar "harmlosen" Inhalt.
Einmal ging es um "afrikanische Rezepte", zum anderen um "Vermietung von Ferienwohnungen in Kanada". Alles ohne Firmenname, Adresse, Tel.Nr. oder eMail-Adresse. Diese Verzeichnisse enthielten ca. 3400 Dateien zwischen 9 und 13 Kb; insgesamt ca. 35 Mb. Die Dateinamen kamen aus dem Erotik-Bereich; z.B. "webcam-stripping.html", "ways-to-pleasure-women.html" um mal ein paar harmlose Wortschöpfungen zu nennen. In allen diesen Dateien war ein verschlüsseltes JavaScript-Modul eingebettet, das von einer anderen Internet-Seite versuchte einen Virus ("virtumonde") nachzuladen und unterzuschieben. Es ging ein PopUp-Fenster auf mit dem Inhalt:
"Your computer is running slower than normal, maybe it is infected with with Viruses, Adware or Spyware. MS Antivirus will perform a quick and completely FREE scan of your system for malicious software. Download MS Antivirus for FREE now! OK Abbrechen"
Wahrscheinlich würde der Virus sowohl beim Klick auf "OK" als auch "Abbrechen" erst installiert.
Bei der Kontrolle der FTP-Log Dateien konnte ich folgendes nachlesen: Zuerst wurde immer eine Datei Namens "Test1234.html" hochgeladen – und dann sofort wieder gelöscht. Vermutlich um zu testen, ob der FTP-Upload funktionierte. Dann begann der Upload der Dateien. Am Upload waren nacheinander ca. 10 IP-Adressen beteiligt aus unterschiedlichen Herkunftsländern (Spanien, Italien, Brasilien, Israel). Der Upload der "Hompage" in das Verzeichnis "_images" fand mit einer Zeitverzögerung von ca. 1 Stunde statt – Arbeitsteilung ?
Scheinbar wurden hier zwei Strategien kombiniert:
Zum einen eine harmlos erscheinende Homepage aber mit Dateinamen aus dem Erotik-Bereich, die jeweils Versuchten einen Virus unterzuschieben.
Zum anderen eine riesige Link-Farm.
| Starreporter hat Folgendes geschrieben: |
| Habe die besagten Firmen mal angerufen die sind vom Hocker gefallen |
Danke für diesen ersten Schritt. Wer übernimmt die restlichen 100 (oder 1000) ? Die meisten dürften sich im Ausland befinden ... |
|
| Nach oben |
|
|
unawave
: 01.12.2007
: 22
: Deutschland
|
| : 13.09.2008, 12:59 : Was ist das für ein Website Hack ? |
|
|
Noch eine Anmerkung:
Google listet nun in der Webmaster-Zentrale ca. 1500 interne Links die nicht mehr erreichbar sind.
Altavista meldet ca. 5000 Links von externen Seiten.
Wie sich das SEO technisch auswirkt, weiß ich jetzt noch nicht.
Also gab es mal ca. 5000 Seiten die ebenfalls auf diese Weise gehackt wurden.
Hier mal eine Übersicht, wie weltweit dieser Hack verbreitet ist:- frutoamarelo.com.br
- floriplast.sk
- foresthigh.co.za
- footballtillidie.co.uk
- alasus.com.ar
- flojhar.hr
- fraggle.at
- conraths.de
- frantzentagfacade.dk
- beursfaciliteiten.nl/index2r.html
- beas-beautyoase.ch
|
|
| Nach oben |
|
|
Starreporter
: 30.12.2007
: 37
|
| : 13.09.2008, 13:21 : Was ist das für ein Website Hack ? |
|
|
Unfassbar wie krank manche Leute sind. Würde ja jetzt am liebsten die Firmen alle mal anrufen aber ehrlich gesagt würde das nie ein Ende finden.  |
|
| Nach oben |
|
|
unawave
: 01.12.2007
: 22
: Deutschland
|
| : 15.09.2008, 10:22 : Was ist das für ein Website Hack ? |
|
|
Das fiese daran ist ja auch, daß einige Seitenbetreiber diesen Hack selbst nicht sehen, weil sie beim Betrachten der eigenen Homepage JavaScript aktiviert haben.
Und Such-Roboter, die vorbeikommen, arbeiten ja meist ohne JavaScript – und diese "sehen" somit die ganzen Links.
Einige Webseiten scheinen mittlerweile auch geschlossen zu sein – wegen zu hohem Traffic-Aufkommen. |
|
| Nach oben |
|
|
hajo3894
: 25.06.2009
: 4
|
| : 26.06.2009, 16:13 : Der gleiche Hack auch auf unserer Seite |
|
|
Hallo zusammen,
wir haben auf unserer Seite www.triplestyle.de genau das gleiche Problem gehabt. Und das ganze sogar zweimal.
Das ganze hat damit angefangen, dass ich auf einmal massenhafte Zugriffe von einem angeblichen Yahoo Bot bekommen habe. Das die Ip-Adressen aber immer alle irgendwo aus China waren, hat mich das doch sehr gewundert. Dann habe ich mal überprüft, worauf dieser Bot denn die ganze Zeit zugreifen möchte. Und siehe da: Fast genau die gleichen Dateien, wie oben schon beschrieben. Auf jeden Fall war der Aufbau dieser Dateien identisch mit dem, wie es auch oben schon geschrieben wurde. Ich habe mir die Dateien mal angesehen. Vom optischen her war es immer eine augenscheinliche W3C Seite. Deaktieveirt man nun aber alle CSS Styles, hat man jede Menge Links zu anderen Seiten vor Auge, die teilweise auch Linktexte wie sex, nude u.s.w. hatten. Soweit so gut. Habe die Sachen alle gelöscht und dachte das Problem wäre beseitigt. Dennoch wurden die Zugriffe der angebelichen Yahoo Bots nicht weniger. Es wurde immer wieder versucht dieses komischen Datein zu erreichen. Nach weiteren Analysen ist mir aufgefallen, dass ich laut dem Yahoo Sitexplorer über 20.000 domain-backlinks hatte. Und da wurde mir klar, was das ganze auf sich hat.
Wer auch immer dahinter steckt, hat irgendwie Zugriff auf meinen FTP-Server bekommen un dort die besagten Dateien abgelegt. Diese Links von denen ich gerade gesprochen habe zeigen zu Seiten, denen wohl das gleiche wie mir passiert ist und zu Seiten, die Viren enthalten. Das ganze ist ein Netzwerk und zwar eine Linkfarm. Diese Netzwerk bewirkt, dass du von allen Seiten, die auch davon betroffen sind, automatisch Backlinks auf deine eigenen gehackten Seiten bekommst und das ganze wie ein endloser Kreislauf sich ausbreitet. Somit hat man auf einen Schalg sehr sehr sehr viele Backlinks.
Auswirkung bei Google: Unsere Seite war mit einigen in unserer Branche bekannten Keywords relativ gut platziert gewesen. Nachdem aber das ganze passiert ist, waren wir organisch tot. Ich kann es euch nicht beweisen, aber anhand meiner Analyse bin ich mir zu 100% sicher, dass wir von Google abgesraft worden sind. Nun kam die Frage aller Fragen: Warum? Nun ja, Leute die sich mit Linkaufbau ein wenig auskennen, werden mir wohl zustimmen, dass Google ziemlich sauer wird, wenn eine Domain von einem auf den anderen Tag auf einmal über 20.000 Backlinks mehr hat.
Problembehebung / Lösungen: Nun da wir wussten, womit wir es hier zu tun haben, brauchten wir Lösungen um das ganze wieder Rückgängig zu machen. Das ist aber gar nicht so einfach, da es einfach nicht zu schaffen ist, jeder dieser einzelnen gehackten Seiten zu kontaktieren, um denen zu sagen, dass die Ihre Seite mal überprüfen sollen und die Links auf uns bzw. alle gehackten Seiten entfernen sollen.
Und wie oben ja auch schon geschrieben wurde, merkt man das selber so gar nicht, außer man deaktiviert Javascript und / oder CSS Styles. Und bevor ich es vergesse: Die Links auf den gehackten Seiten waren alle mit dem Tag "dofollow" versehen. Was für ein Zufall.
Fazit: Ich gehe mal davon aus, dass es noch mehrere Jahre, wenn nicht sogar Jahrzente dauern wird, bis alle Backlinks zu unserer Domain verschwunden sind. Außer Google ändert seine Crawling-Technologie. Z.B. sollten sofort bei Google Alarmglocken angehen, wenn er sowas sieht: <div style="position: absolute; left: -5000px; font-size: 1; height: 1; width: 1; overflow: hidden;">. Somit erreichen die nämlich, dass man selber erst gar nicht die Links zu sehen bekommt.
Was heißt das nun für uns. Wir brauchen eine neuen Domain. 
Jetzt bleibt aber immer noch eine Frage, wo ich überglücklich über eine Antwort wäre: Wie haben die es geschafft auf unseren Server Dateien abzulgen bzw. Dateien zu beschreiben?????
Da wir das Schopsystem XT-Commerce benutzen, hatte ich gedacht, es gibt vielleicht dort eine Sicherheitslücke. Aber da ich im Internet über solch eine Sicherheitslücke nichts gefunden habe und es wahrscheinlich dann auch viele viele andere Shops getroffen hätte, wo ich aber keinen von finden konnte (nach langer langer Recherche), kann ich das wohl ausschließen. Ich habe mir mal dann auch die gehackten Seiten die zu uns zeigen genauer angeguckt. Dort konnte ich keine Regelmäßigkeiten feststellen, wie z.B immer das gleiche CMS oder immer das gleiche Shopsystem.
Und ab hier wieß ich leider nicht mehr weiter. Aber vielleicht ließt das hier ja einer, der sich mit dieser Thematik auskennt oder den das gleiche passiert ist und eine Lösung hat.
Ich bedanke mich jetzt schon für alle die mir/uns irgendwie weiter helfen können. Denn auch wenn ich die Domain höchstwahrscheinlich wegschmeißen kann, will ich trotzdem wissen, wie diese ****** Zugang bekommen konnten um nicht nochmal sowas zu haben.
Ich hoffe das hier ist auch einen kleine Hilfe für diejenigen, denen das gleiche unterlaufen ist und genauso ratlos am Anfang wie ich waren.
Gruß
Daniel
P.S.: Achtet nicht auf meine Rechtschreibfehler. War beim schreiben ziemlich aufgelöst. |
|
| Nach oben |
|
|
Moritz2007
: 14.06.2008
: 1511
|
| : 26.06.2009, 18:44 : Was ist das für ein Website Hack ? |
|
|
Wer auch immer dahinter steckt, hat irgendwie Zugriff auf meinen FTP-Server bekommen un dort die besagten Dateien abgelegt. Diese Links von denen ich gerade gesprochen habe zeigen zu Seiten, denen wohl das gleiche wie mir passiert ist und zu Seiten, die Viren enthalten. Das ganze ist ein Netzwerk und zwar eine Linkfarm. Diese Netzwerk bewirkt, dass du von allen Seiten, die auch davon betroffen sind, automatisch Backlinks auf deine eigenen gehackten Seiten bekommst und das ganze wie ein endloser Kreislauf sich ausbreitet. Somit hat man auf einen Schalg sehr sehr sehr viele Backlinks. <<<<<< Dahinter steckt Jason Thailor, USA, 47-47 36th Street,ip wird nicht hier gepostet, verlinkt wurdest du von Linkprotektor,gesetzt wurden intervall 378 Backlinks im ersten Monat.danach Tendenz steigend 30-40-50 er schritte.Dein Ftp Server enthält nen Order der da nicht hingehört. Gesetzt wurden xxx Links sowei zu Hacker und crack seiten.
Die Frage warum, kannst nur du selbst beantworten.
Dein endloser Kreislauf befindet sich im Ordner auf deinem Server. |
|
| Nach oben |
|
|
![[S] Website zum testen meines Besucherzählers [B] 50 Euro](/foren/templates/DesertStorm/images/folder_lock.gif)