Blog kopiert? Neben den sehr guten Tips u.a. vom NIEDblog und Lousy Pennies möchte ich hier technische Gegenmaßnahmen sammeln. Zum Hintergrund: aktuell werden massenweise deutschsprachige Blogs kopiert. Das Impressum wird leicht verändert, es werden neue Tracking-Scripte hinzugefügt, ansonsten werden die Kopien nicht nennenswert verändert. Bislang ist folgendes klar:
- Die Seiten werden von IPs von LeaseWeb aus kopiert. Dabei wird vermutlich etwas im Stil eines rekursiven wgets verwendet, d.h. es wird einfach ein Desktopbrowser simuliert und die Dokumente werden abgerufen. (Steht im access.log)
- Die neu erstellen E-Mail-Adressen werden von ZOHO Mail verwaltet (MX Records der Kopie-Domains gehen dorthin).
- Die Auslieferung der Seiten erfolgt über CloudFlare (Dazu gehörden die A-Records der Kopie-Domains).
- Weitere DNS Einträge gehen auf den niederländischen Hoster Tilaa (Dorthin gehen die A-Records von Subdomains der Kopie-Domains, also z.B. mail.domain.com).
- Die Domains sind bei GoDaddy registriert (Steht im Whois).
- [UPDATE3]Die Registrierung bei den Affiliate- und Werbe-Anbietern erfolgte in mehreren Fällen von deiner deutschen IP aus dem Telefonica- / O2-Netz (laut Telefonaten von Alex / NIEDblog)[/UPDATE3].
An all diese Anbieter kann man wie im NIEDblog beschrieben Abuse-Mails schicken. Außerdem sollte man juristisch dagegen vorgehen. Auf technischer Ebene hilft es, den Abruf der Seiten zu unterbinden. Da der Angreifer von mehreren IPs von LeaseWeb agiert sollte man die gesamte IP Range sperren. Das geschieht durch folgenden Eintrag in der .htaccess
order allow,deny
deny from 178.162.128.0/17
allow from all
Oder für nginx:
location / {
deny 178.162.128.0/17;
allow all;
}
Wenn bereits IPs gesperrt sind muss man natürlich nur die mittlere Zeile an der richtigen Stelle zwischen order und allow hinzufügen. [UPDATE]Ironischerweise kopiert das Script des Angreifers nun auch den so generierten 403er Fehler mit, so dass man damit die kopierte Seite komplett abschießt. Schönes Ergebnis.[/UPDATE] Ich werde diesen Artikel weiter updaten wenn ich weitere Informationen bekomme. Solange – viel Erfolg beim Aussperren und weiteren Maßnahmen! Wenn ihr auch betroffen seid schickt gern euer access.log (gibt’s beim Hoster) an mail@ernestoruge.de – ich schau mir das dann mal an. [UPDATE2] Dass da einfach brutal alles kopiert wird lässt sich wunderbar nutzen. Ihr erstellt noch eine weitere Zeile in eurer .htaccess:
ErrorDocument 403 /403.html
Dann erstellt ihr in eurem Root-Ordner eine Datei namens 403.html. Diese sollte folgenden Inhalt bekommen (beim Shortlink müsst ihr z.B. bei TinyURL einen Kurzlink eurer Seite erzeugen und diesen dann an den beiden Stellen eintragen):
<html>
<head>
<title>Falsche Seite</title>
<meta http-equiv="refresh" content="0; URL=http://SHORTLINK-ZU-EURER-SEITE.DE/">
<body>
<h1 style="color: #FF0000">STOP!</h1>
<p>Hier willst du nicht hin. <a href="http://SHORTLINK-ZU-EURER-SEITE.DE/" rel="nofollow">Hier ist viel besser.</a></p>
</body>
</html>
Dann ein bisschen warten und schon macht der Angreifer eine Gratis-Weiterleitung auf Eure Website.[/UPDATE2]
Schöner Einfall!
Im Script der 403.html fehlt aber aktuell noch ein abschließendes vor dem , oder?
Sehr schöne Idee mit der 403 am Ende! 😉
@Uwe: Stimmt. Wir wollen ja auch noch valides HTML was auf uns verweist. *chrchr* Wobei ich zugebe dass ich zu faul war den Doctype und all die anderen sinnvollen Komponenten dort hineinzuschreiben.
Eine Anmerkung zu der Umleitung am Ende. Letztlich ist das ja ein eingehender Link. Der eine wird vielleicht nichts machen, aber dem Suchmaschinen-Ranking schadet sowas tendenziell eher, weil der Link von einer schlechten Quelle kommt.
Alex: deswegen auch das rel=“nofollow“. Das mit der Gratis-Weiterleitung war mehr ein ironischer Kommentar, keine Empfehlung, das Phänomen für Suchmaschinenoptimierung zu verwenden.
Ah, das re=“nofollow“ ist hier abgeschnitten. Ich habe das auch nicht als Tipp zur Suchmaschinenoptimierung aufgefasst, sondern Nebeneffekte gesehen.
Am besten sollte man auch gegen die Domain vorgehen.
Die ICANN bietet dafür auch eine Möglichkeit:
http://www.heise.de/newsticker/foren/S-ICANN-Whois-Inaccuracy-Complaint/forum-284333/msg-25674429/read/
Gruß,
Datafreak
Das ganze /17 sperren ist keine gute Idee, das sind nämlich dann über 32000 Adressen, unter anderem genutzt für Internetzugang (zum Beispiel verschiedene VPN-Anbieter). Damit sperrt man sich also ggf. Besucher aus.
Da es wohl ein Rechenzentrum ist, ist es auch möglich dass kleinere Suchmaschinen von dort aus ihre Bots betreiben, die möchte man dann natürlich auch nicht mit erwischen. Da sollte man schon genauer die IP-Adressen, die zum Angreifer gehören identifizieren.
Leider handelt es sich dabei um mehrere VPS, welche quer über die IPs von LeaseWeb verteilt sind. Und leider ist LeaseWeb scheinbar bislang auch wenig kooperativ, was das Offline-Nehmen der Scraper angeht. Die Anzahl der Besucher auf normalen Blogs von VPNs dürften aber arg gering sein, ebenso die Anzahl der Suchmaschinen-Bots. Dass eine große professionelle Website anders vorgehen muss ist klar, aber die hat auch andere Mittel als z.B. ein Reise- oder Foodblogbetreiber.
Danke für die Auflistung und das vorgehen gegen die / den Betrüger. Wenn er/sie aus Deutschland kommt dürfte es ja relativ einfach werden die Person zu schnappen. Gerade wenn die Person sich das Geld ausbezahlen lassen will.
Gruß