Sie sind auf Seite 1von 5

Backlink Spamming an einem aktuellen Beispiel

Peter Hoffmann 06.12.2011

Inhalt:

 

1. Vorwort

2. Einführung

3. Analyse

4. Nachwort

1. Vorwort

Suchmaschinenoptimierung ist eines der wichtigsten Marketingmaßnahmen der heutigen Zeit geworden. Das Internet stellt eine immense Möglichkeit für Firmen dar, neue Kontakte zu knüpfen und Kunden zu gewinnen. Wie so oft sind die Firmen am erfolgreichsten, die top Positionen erreichen. Dies ist auch bei der SEO so. Die bedeutendste Suchmaschine der heutigen Zeit ist Google. Sie hat einen Marktanteil von 82,8% (Quelle: Netmarketshare). Daher ist es sinnvoll Webseiten eher für Google zu optimieren als für andere Suchmaschinen. Das bedeutendste Kriterium für Suchmaschinen sind Links. Sie werden ähnlich wie bei Facebook als Likes, also als Empfehlungen interprätiert. Je mehr Backlinks eine Seite hat, desto wahrscheinlicher ist eine gute Platzierung. Daher ist es ziemlich verlockend, schnell viele Backlinks anzulegen, um eine top Platzierung zu erreichen. Dies kann durch legale, als auch durch illegale (Blackhat-SEO) Methoden erreicht werden. Wie in allen anderen Bereichen ist es auch hier so, dass die illegalen Methoden einen schnelleren Erfolg garantieren, jedoch eher auf kurze Erfolge aus sind, als für langanhaltende top Positionierungen.

2.

Einführung

Ein weit verbreitetes Internetphänomen sind sogenannte “Geld-verdienen” Seiten. Diese Webseiten enthalten verschiedene Möglichkeiten und Tipps wie man innerhalb kürzester Zeit viel Geld verdienen kann. So die Theorie. In Wirklichkeit handelt es sich hierbei jedoch um Schneeballsysteme oder um Internetcasinowerbung. Meistens verdient der Betreiber der Webseite durch Affiliate Werbung. Immer wenn ein User sich bei einem der genannten Onlinecasionos anmeldet, erhält der Betreiber einen vereinbarten Betrag. Das Ziel des Betreibers ist es nun, so viele User wie möglich dazu zu bewegen, einen Account bei dem Casion zu erstellen. Meist wird mit Tricks geworben, wie man das Casion betrügen kann. Diese Tricks funktionieren natürlich nicht und sind nur ein Mittel um die User zum Registrieren zu bewegen.

Um so viele Besucher wie möglich zu bekommen setzen viele Betreiber auf Youtube-Spam oder Blog-Spam. Eine weitere Möglichkeit ist es, die eigene Seite bei den Google Suchergebnissen ganz nach oben zu bringen. Da die Keywords “Geld verdienen” jedoch sehr umstritten ist, muss man auf Blackhat Maßnahmen zurückgreiffen, um eine top Positionierung zu erlangen. Eine dieser Blackhat Maßnahmen ist Backlink Spamming.

Eine beliebte Blackhat Spamming Methode ist, Webseiten zu hacken und unsichtbar einen Backlink zu platzieren. Dabei merkt der Betreiber der kompromitierten Seite nichts, denn der Link ist nicht auf Anhieb ersichtlich und die Funktion der Webseite ist nicht beeinträchtigt.

Wie findet man jedoch schnell viele Webseiten, die kompromitierbar sind? Dafür bedient man sich einer alt bewährten Methode. Man sucht sich ein bekanntes CMS System aus, sucht nach bekannten Sicherheitslücken und fügt in diesen Seiten den Backlink ein. Meist nutzt man SQL-Injection Lücken aus. Dabei kann man direkt in die Datenbank speichern oder das Administrator Passwort auslesen. Nun ist es ein Kinderspiel, die Webseite zu bearbeiten. Wichtig dabei ist, dass die kompromitierte Seite äußerlich nicht verändert wird, denn nur so bleibt der Backlink lange unbemerkt. Nun muss man diesen hinzugefügten Link nur noch verstecken. Dies geschieht Mithilfe von CSS. Fertig ist der perfekte Blackhat Backlink.

3. Analyse

In diesem Bericht haben wir die Seite http://www.geld-verdienen.net/ “ analysiert. Sie steht zum aktuellen Zeitpunkt auf Platz 1 bei dem Suchbegriff “Geld verdienen” und hat einen Pagerank von 6. Eine beachtliche Leistung. Kommen wir nun zu der Analyse:

Zu erst einmal interessierten wir uns für die Anzahl der Backlinks. EIne PR6 Domain an Platz 1 muss viele Backlinks besitzen, anders würde Google sie an einer niedrigeren Position einordnen. Das Projekt Opensiteexplorer (http://www.opensiteexplorer.org) bietet eine Datenbank mit Backlinks zu bekannten Webseiten. Natürlich wird die Datenbank nicht jeden Tag geupdatet, also erhällt man auch Ergebnisse, die gar keinen Backlink enthalten. Dies war jedoch in diesem Fall ein positiver Nebeneffekt, doch dazu später.

in diesem Fall ein positiver Nebeneffekt, doch dazu später. Die Seite hat 1127 Backlinks, eine nicht

Die Seite hat 1127 Backlinks, eine nicht geringe Menge. Dies erklärt natürlich die Positionierung und den Pagerank. Doch woher bekommt eine unseriöse Seite so viele Backlinks? Um diese Frage zu beantworten, betrachtet man einfach die verlinkenden Webseiten. Um nur ein paar zu nennen:

All diese Websieten enthallten einen Backlink zu http://www.geld-verdienen.net/. Doch schnell wird klar, dass es sich hier um seriöse Webseiten von Firmen handelt.Was haben sie also mit Geld verdienen zu tun? Um die Frage zu beantworten, schaut man sich den Quellcode an. Man findet hier auch den Backlink, jedoch auch nur in dem Quellcode. Auf der Seite selber ist er unsichtbar. Wieso also?

<style>div.cawina{position:absolute;left:-1931px}</style><div class="cawina"><a href="http://www.geld-verdienen.net">schnell Geld verdienen</a></div>

<a style="POSITION: absolute; LEFT: -1556px" href="http://www.geld-verdienen.net">Geld verdienen</a>

<style>.pavstl {position:absolute;left:-2274px;}</style> <div class="pavstl"> <a href="http://www.geld-verdienen.net/">Geld verdienen im Internet</a> </div>

Wie man sieht, wird der Link per CSS außerhalb des Sichtbereichs plaziert, indem er sehr weit nach Links gerückt wird. Dadurch sieht der Webmaster oder der Seitenbesucher den Link nicht, jedoch wird er von Google erkannt, da Google nur den Quelltext selber betrachtet. Was noch auffällt, die Codesnippets sind alle unterschiedlich. Wieso, darüber kann man nur

mutmaßen, jedoch ist es wahrscheinlich, dass der Spammer dadurch die Erkennung von dem Code erschweeren wollte. Denn wenn er immer das gleiche Codesnippet nimmt, wäre es sehr leicht alle kompromitierten Seiten zu erkennen und zu kontaktieren. Das ist aber nur eine Methode die hier verwendet wird. Es gibt noch eine zweite. Diese sieht man z.B. auf http://www.corp.at/ . Sehen Sie den Backlink? Natürlich nicht! Er versteckt sich hinter einem Bild, nämlich hinter dem AGEO Logo auf der rechten Seite.

Bild, nämlich hinter dem AGEO Logo auf der rechten Seite. Dieses Logo verlinkt auch auf die

Dieses Logo verlinkt auch auf die Seite des Spammers. Da sich jedoch so viele Logo auf der rechten Seite befinden, fällt es nicht auf anhieb auf. Anscheinend auch nicht dem Seitenbetreiber.

Da nun die Frage geklärt wäre, woher die ganzen Backlinks kommen, wollen wir analysieren, wie sie dahin gekommen sind, denn es ist sehr unwahrscheinlich, dass die Seitenbetreiber die Codesnippets freiwillig eingebunden haben. Dafür Analysieren wir die kompromitierten Webseiten.

Was gleich auffällt, sie basieren zu einem sehr großen Teil auf dem kostenlosen CMS TYPO3. Dies erkennt man, wenn man sich den Quellcode der Seite anschaut und gleich oben im Header als Comment z.B.

<!--

This website is powered by TYPO3 - inspiring people to share! TYPO3 is a free open source Content Management Framework initially created by Kasper Skaarhoj and licensed under GNU/GPL. TYPO3 is copyright 1998-2009 of Kasper Skaarhoj. Extensions are copyright of their respective owners. Information and contribution at http://typo3.com/ and http://typo3.org/

steht. Alle Webseiten die noch einen Backlink enthalten, basieren auf einer älteren TYPO3 Version, wahrscheinlich 3.X . Da es sich um eine veraltete Version handelt, sind hier viele Sicherheitslücken bekannt, durch die man das System kompromitieren kann. Da die Seitenbetreiber nicht auf die neuste Version geupdatet haben, konnten die Seiteninhalte von außen geändert werden. Wie man sieht sollte man als große Sorgfalt auf ein aktuelles System setzen.

Nun kommen wir zu dem Nebeneffekt der veralteten Backlink Datenbank von Opensiteexplorer zurück. Dies war in unserem Fall hilfreich, denn wir haben viele Seiten gefunden, die anscheinend früher einen Backlink enthielten, jedoch jetzt keinen mehr beinhalten. Beispiele dafür wären:

Auch diese Seiten setzen auf das CMS TYPO3, jedoch mit dem Unterschied, dass sie eine aktuellere Version benutzen. Dies erkennat man auch an dem Header, jedoch diesmal nicht an dem Comment, sondern an einem Meta-Tag:

<meta name="generator" content="TYPO3 4.5 CMS">

Wie man sieht wurden diese Seiten auf die Version 4.5 geupdatet. Wahrscheinlich hat jemand gemerkt, dass die Seite kompromitiert wurde, oder man wollte einfach up-to-date sein. So wurde der Backlink entfernt und die Sicherheitslücke geschlossen. Also konnte der Angreifer den Linki nicht nochmal platzieren.

4. Nachwort

Diese Technik des Backlink Spamming ist ziemlich hinterhältig, da es nicht auf Anhieb sichtbar ist, dass das System kompromitiert wurde. Andererseits muss man sagen, dass die Idee sehr ausgeklügelt ist und weitreichende Kenntnisse in vielen Bereichen der Webprogrammierung erfordert. Anfänger können solch komplexe Angriffe nicht starten, also waren hier Profis am Werk. Weiterhin sollte Google die Backlinks als ungültig erkennen, da sie ja für den Betrachter nicht ersichtlich sind und es offensichtlich ist, dass es sich hier um hidden Links handelt. Die Frage ist nun, wie lange bleibt die Seite auf der Top Position, denn solche Maßnahmen werden gerne begestraft.