Menschen machen Fehler. Aber nicht nur Menschen, oft sind auch Technik und Programme nicht fehlerfrei. Was aber nicht verwundert, denn die sind in aller Regel von Menschen gemacht.

Ich kann mich ja immer wieder über den Spammer-Dialog auf dem TagSEOBlog köstlich amüsieren. Ich denke mal, Martin hat das gleich passend für den letzten und den aktuellen Webmaster-Friday konzipiert und so gewissermaßen zwei Fliegen mit einer Klappe geschlagen. :-)

Viele der Spamtexte kannte ich auch schon, aber in der Dialog-Bearbeitung erreichen sie eine ganz neue Qualität. Heute nun hat es aber jemand übertrieben und mir gleich eine Liste mit 64 dieser Spam-Texte als “Kommentar” zukommen lassen.

Ich denke mal, daß das keine Absicht war, denn irgendwie ist das schon ein bißchen unglaubwürdig, so ein Kommentar mit 64 praktisch nichtssagenden Sätzen. Außerdem sind die Paragraph-Zeichen am Anfang jeder Zeile für einen richtigen Kommentar doch eher ungewöhnlich.

Hier hat entweder der Spambot versagt, der vermutlich nur immer jeweils einen Satz zufällig pro Kommentar auswählen soll, oder der Nutzer hat keine Ahnung, wie das funktioniert und irgendwas falsch eingestellt. Oder aber das ist ein Scherz und jemand hat mir seine gesammelten Spam-Texte zukommen lassen, warum auch immer.

Ich denke aber, es war ein Fehler. Menschen machen nun mal Fehler.

Das ist kein Beitrag zum Webmasterfreitag, auch wenn ich dorthin verlinke.

Weiter unten gibt es dann gaaanz viel themenrelevanten Text. Gut, die Links sind zwar “nofollow” , aber es reicht ja, wenn mal ein paar User draufklicken.

Ich habe mal nachgesehen, was es bisher so für Keyword-Namen bei den Kommentaren auf Putzlowitsch und Schnurpsel gab. Hier eine Auswahl:

• SMS Chat
• Geschenkidee
• Sicherheitsschuhe
• Kultur in Berlin
• Gerd Sparen
• Lisa Tuniken
• Flüge Australien
• Babymode
• Poker Shirt
• Webdesigner
• Exchange Hosting
• Tresor
• Schmuck
• Moderatoren Agentur
• Schüttguttechnik
• Zellenradschleusen
• Denkmalimmobilien
• Shop4iphones

Manche nennen einfach kurz und prägnant worum es geht, wie Schmuck, Tresor, Babymode oder auch in zwei Worten wie Exchange Hosting, Flüge Australien und Moderatoren Agentur.

Eine andere Gruppe kombiniert das Schlüsselwort mit einem gängigen Vornamen, so z.B. Gerd Sparen oder Lisa Tuniken. Gut, ich will jetzt nicht ausschließen, daß es diese Namen tatsächlich gibt. Wenn man dem Link folgt wird dann klar, daß das aber schon ein sehr großer Zufall wäre, wenn der Betreiber einer Seite “ratgeber-geld-sparen” Gerd Sparen oder die “fashionexpertin” Lisa Tuniken heißt.

Bei Shop4Iphones z.B. aus der dritten Gruppe ist der Name identisch mit dem Hostnamen der verlinkten Website.

Am meisten angetan haben es mir aber die Zellenradschleusen und die Schüttguttechnik. Das sind zumindest eher selten anzutreffende Kommentatoren-Spam-Namen und insofern ewtas Besonderes. Andererseits wurde dabei wieder die Erinnerung an meinen ursprünglichen Lehrberuf “BMSR-Techniker” wach, den solche bzw.ähnliche technische Gerätschaften spielten in meiner Berufsausbildung auch eine Rolle.

Die Zellenradschleuse erinnert mich doch sehr stark an ein Meßgerät zur volumetrischen Durchflußmessung, dem Flügelradzähler. Das Bild stammt aus dem Lehrbuch für die Berufsausbildung “Betriebsmeßtechnik” von Gerhard Fischer. Herr Fischer war übrigens nicht etwa Fischer, sondern Oberlehrer und Diplom-Gewerbelehrer.

Heute hat Roberta bei Putzlowitsch einen Kommentar zur Vuvuzela hinterlassen. Der Link führte ursprünglich zum “Gehörschutz-Versand”, eigentlich für mich eine klare Sache, daß es sich um Kommentar-Spam handelt. Wenn es nicht so offensichtlich ist oder manchmal einfach aus Neugier suche ich bei Google, wo bereits weitere derartige Kommentare auftauchen. Dir gute Roberta ist schon etwas länger aktiv und hat bereits einige Kommentare auf anderen Blogs hinterlassen. Ein paar Beispiele:

“Die Vuvuzelas kann ich gar nicht leiden. So ein unangenehmes Geräusch habe ich nie gehört.”
“wow! beeindruckendes video, ist echt interessant zum anschauen.”
“Endlich eine Lösung des Problems! Ich hoffe. dass es wirklich wirkt”
“Wegen der Vuvuzelas warte ich auf das Ende der WM voller Ungeduld.”
“Wie könnte das erlaubt bleiben, das ist einfach dumm. Die Hörschaden sind also nicht von so großer Bedeutung.”
“kann man die vuvuzelas einfach verbieten?”
“Manche Leute haben Glück, ich aber muss das Geräusch ständig zu hause hören, Lucky man”
“Der Fußball gefällt mir nicht mehr, das ist das Resultat”
“140 Dezibel?! WOW! Das will ich mir gar nicht vorstellen.”
“Das ist das unerträglichste Geräusch der Welt. Gott sei Dank, dass ich dort nicht bin.”

Die Kommentare gehen schon mehr oder weniger auf den Artikel ein. Und immerhin nutzt die Aktion thematisch aktuelles Geschehen (Vuvuzela), eigentlich eine gar nicht mal schlechte Herangehensweise. Letzendlich muß jeder aber selber entscheiden, wie er mit solchen Kommentaren umgeht. Technische Spamabwehr dürfte wohl bei dieser Art von Spam-Kommentaren ohnehin versagen. Wo die Kommentare nicht moderiert werden, erscheinen sie dann direkt und bleiben vermutlich auch unbemerkt.

Aber andererseits, was solls? Es ist nun auch kein Weltuntergang, wenn da jemand ein paar Links bekommt, die zudem möglicherweise nur “nofollow” sind. Man kann das auch mal locker sehen, wenn es denn nicht Überhand nimmt. Trööööööt! :-)

Aufmerksam darauf geworden bin ich Anfang Juni durch ein Pingback hier bei Schnurpsel. Da ich Kommentare und Track-/Pingbacks moderiere, schau ich vor dem Freischalten nach, wo diese herkommen. Es handelte sich um diesen “Beitrag” zur Datenrettung (datenrettung.24h-tiрр.de). Gestern und heute kamen dann noch MPU, Katzen und Schufa hinzu. Ein wenig anders kommt Kreide, Sand und lange Strände daher. Ist auch ein anderer Betreiber, aber praktisch das selbe Prinzip.

Technik

Man benötigt ein Webhostingpaket oder einen Server im Internet. Hier wird zunächst Wordpress (MU oder 3.0) installiert. Dann richtet man ein paar interessante Stichwörter als (virtuelle) Subdomains ein. Es funktioniert natürlich auch ohne Subdomains.

Texte

Nun benötigt man ein Plugin, mit dem man fremde Inhalte als Artikel in Wordpress einlesen und speichern kann. Damit hat man schon mal ohne großen Aufwand Text, das wichtigste Futter für die Suchmaschinen. Bei den Beispielen oben werden die Inhalte vorzugsweise von Yahoo-Answers, dem Frage- und Antwortenportal von Yahoo abgegriffen. Man kann dort einfach die Feeds zur Stichwortsuche auslesen.

Das mit Yahoo-Answers hat zudem den Vorteil, daß man die Antworten direkt als Kommentare zu den Fragen einlesen kann. Damit wird das Blog-Feeling verstärkt.

Links

Neben dem Textfutter sind für Suchmaschinen natürlich auch Backlinks wichtig. Das Linkbuilding erfolgt hier auch automatisch über Pingbacks aus Blogs. Dazu werden mit einem Plugin über die Google-Blogsuche oder ähnliche Blogquellen passende Blogartikel zu aus dem Text extrahierten Stichwörtern gesucht. Diese werden dann als “Related Blogs” direkt in den Artikel eingefügte.

Beim Speichern des “Artikels” versendet Wordpress nun brav an jede dieser Seiten ein Pingback. Spamabwehr-Plugins wie Trackback-Check und Ähnliche greifen hier natürlich nicht, weil der Link auf die Zielseite bei der pingenden Seite ja tatsächlich vorhanden ist.

Werbung

Nun hat man schon mal Inhalte und Backlinks, was fehlt ist nun noch die Werbung. Hier kommt idealerweise kontextsensitive Werbung wie AdSense zum Einsatz. Fertig ist die Laube, der Rest läuft weitestgehend automatisch.

Geld

Ob das nun tatsächlich funktioniert und den Rubel rollen läßt, kann ich nicht beurteilen. So wie oben beschrieben, ist es zumindest aus meiner Sicht angelegt. Technische gesehen ist das keine große Sache, aber Technik allein ist nicht alles. Aus SEO-Sicht kann ich das sowieso nicht beurteilen.

Na mal sehen, ob dieses Modell eine weitere Verbereitung findet. Ein paar andere Seiten/Domains gibt es zumindest noch, z.B. Kredite und Baufinanzierung. :-)

xyz.amazonaws.com  /2007/01/09/spam-spammiger-am-spammigsten
xyz.amazonaws.com  /2007/01/09/spam-spammiger-am-spammigsten/
xyz.amazonaws.com  /wp-comments-post.php
xyz.casema.nl      /wp-comments-post.php
xyz.slicehost.net  /wp-comments-post.php

Erst kommt so ein Hansel vorbei und ruft eine Seite mit der falschen URL (ohne abschließendem Slash) auf. Dann wird er auf die richtige URL weitergeleitet und versucht einen “Kommentar” abzusetzen. Gleich danach kommen noch zwei Spam-Bot-Kollegen und versuchen dasselbe. Als User-Agent steht immer “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)” drin.

Inhaltlich habe die nicht wirklich was zu bieten, es scheint eher nur ein Test zu sein, ob die Kommentare entgegengenommen werden und wie Links eingefügt werden können. So in etwa sehen die Kommentare aus:

EBuBBk
<a href=\"http://swdjxdiycbec.com/\">swdjxdiycbec</a>,
[url=http://ndnoaqhxujvg.com/]ndnoaqhxujvg[/url],
[link=http://krperquplewf.com/]krperquplewf[/link], 

http://keejyaqvdysc.com/

Angefangen hat es kurz nach 9 Uhr. Bisher sind gut 300 Spam-Versuche aufgeschlagen, also etwa 100 Zugriffe des obigen Verhaltensmusters. Nur gut, daß dieser Spam-Quark schon an der Türe abgewiesen wird und erst gar nicht in die Spam- oder Moderationsliste von Wordpress gelangt.

Ich befürchte, die Bots geben erst Ruhe, wenn sie alle ca. 750 Artikel bei Putzlowitsch abgegrast haben. Und dann komme sie womöglich noch hierher zu Schnurpsel. Hoffentlich merken die bald mal, daß sie dort wie auch hier keine Chance haben, ihren Spam loszuwerden.

Gefälschter Referer -> Spam

Der Referer wird normalerweise beim Aufruf einer Seite vom Web-Browser des Benutzers an den Webserver im sogenannten HTTP-Request mitgeschickt, kann aber ebenso fehlen oder sonst irgendwie verändert sein. Da diese Information beliebig gesetzt werden kann, ist nicht gewährleistet, das sie auch stimmt. Genau solche “gefälschten” Referer machen sich Spammer zu Nutze und setzen den Refefer auf eine Seite, von der gar kein Link auf die aufgerufene Seite zeigt.

Spamziel -> Neugierige Webmaster und öffentliche Statistik

Was hat ein Spammer nun von so einem auf eine “beworbene” Seite zeigenden, falschen Referer? Zwei Aspekte spielen dafür eine wichtige Rolle.

Zum einen die Neugier des Webmasters, der gerne wissen möchte, wer denn da und warum auf die eigene Seite verlinkt. Damit hat die bespammte Seite schonmal einen Besucher mehr. Ich gebe zu, ich gucke da auch manchmal nach, woher die Links kommen :-)

Zum anderen gibt es Webseiten, die ihre Zugriffsstatistik öffentlich einsehbar auf einer Seite bereitstellen. Meist gibt es da auch einen Bereich mit der Herkunft der Besucher, als der referenzierenden Webseite, die dann oft sagar als Link ausgegeben werden. Über die Bedeutung von Links im allgemeinen und für das Suchmaschinen-Ranking im besonderen brauche ich wohl keine großen Worte verlieren.

Referer-Spam mit System

Seit ein paar Tagen, konkret seit dem 18. März, befinden sich in meinen Log-Dateien Referer von der Seite referertrick.com (seit kurzem auch mit .de).
Die Zugriffe kommen bisher von den drei IP-Adressen 87.118.82.66, 87.118.82.104 und 87.118.116.23. Ich habe noch etwas “zurückgeblättert” und festgestellt, daß es bereits im Dezember 2009 ein paar Zugriffe von einem Bot namens “SourceSpider/2.1″ über die IP 87.118.82.66 gab. Im Januar wurde vermutlich eine Testlauf gestartet, da tauchte dieser Server mit “Kunden-Referer” auf.

Auf der referertrick-Webseite heißt es ganz unverblümt:

Wir senden HTTP-Pakete an alle Webseiten des Internets. Dabei wird Ihre Webseite als Referer aufgelistet.
Die Inhaber dieser vielen (teilweise Millionen) anderen Webseiten glauben daher, dass Sie auf diese Webseite verlinken würden, und besuchen Ihre Webseite aus Neugierde.
Jeder Besucher ist ein potentieller Kunde, ganz zu schweigen von der Suchmaschinen-Optimierung durch die vielen Statistik-Links!

Geld verdienen im Internet

Das Ganze klingt natürlich erstmal nach einer cleveren Geschäftsidee. Ich halte es allerdings für eine weitere Art von Spam, die irgendwann nur nervig ist.

Irgendwie paßt das auch ganz gut zum aktuellen Thema des Webmasterfridays “Was ist die richtige Linkbuilding-Strategie?” :-)
Allerdings denke ich, daß dieser Art gekauftes “Linkbuilding” über gefakte Referer auf Statistikseiten keine gut Strategie ist.

Google-Analytics und externe Statistik nicht betroffen

Wenn sich nun jemand wundert, daß bei ihm noch keine Referertricks angekommen sind, liegt es vielleicht daran, das die Statistik nicht über die Serverlogdatei funktioniert oder direkt auf dem Server läuft. Technisch bedingt sind keine Statistik-Tools betroffen, die extern per Javascript oder “Zählerpixel” eingebunden werden. Der Referertrick-Bot führt, davon gehe ich einfach mal aus, schließlich kein Javascript aus oder lädt per IMG-Tag eingebundene Grafiken nach. Somit sehen Statistik-Tools wie Google-Analytics, WordPress.com Stats oder auch Piwick diese falschen Referer erst gar nicht.

Spam oder nicht, das ist hier die Frage, und wenn ja, wozu ist es gut:

Betreff: [сugе.org] Aufnahme-Benachrichtigung: schnurpsel.de

Sehr geehrte Damen und Herren,

aufgrund der neuen Rechtslage in Europa haben wir die Pflicht Sie darüber zu informieren, dass die o.g. Website im Bewertungs-Index von сugе.org gelistet ist. сugе [kjudsch] ist ein freier Service für die Bewertung der Service-Qualität und Zuverlässigkeit von Websites durch die Kunden der Site selbst.
…

Dann kommt mehr oder weniger uninteressanter Text gefolgt von diesem wichtigen Hinwies:

*** Wichtige Hinweise: ***

Insbesondere Deutsche Website-Betreiber möchten wir darauf hinweisen, dass es sich bei dieser Benachrichtigung nicht um sog. Spam handelt. Sie erhalten diese E-Mail als vermuteter Inhaber der o.g. Website, weil ein Website-Betreiber nach neuer Europäischer Rechtslage das Recht hat, von dem Listing in einem Bewertungsdienst zu erfahren und sich ggfs. gegen ungerechtfertigte Bewertungen zu wehren.

Ich empfinde den eindringlichen Hinweis, daß es sich nicht um Spam handelt, schon fast wieder als Indiz dafür, daß es doch Spam ist. Und was für eine neue europäische Rechtslage ist gemeint?

Na egal, ich war dann doch neugierig (das ist vermutlich der Zweck) und habe mir meine Bewertung dort angesehen. Es gibt tatsächlich eine Bewertung die, nun ja, eher mittelprächtig ausfällt. Obwohl ich eine durchschnittliche Lieferzeit von einem Tag und vier Stunden gar nicht mal schlecht finde.

Das Problem ist nur, ich liefere überhaupt nichts, schon gar keine Erze, Mineralien und Substitute. Die gemachten Angaben wie Firmenname, Kategorie “Internationales Business” und Internationaler Handel Import Export stimmen ünerhaupt nicht mit meiner Schnurpsel-Seite überein. Die Firma Linox GmbH gibt es allerdings wirklich und auf die paßt auch die Beschreibung, nur die Webseite ist falsch. Man findet die Firma, oh großes Wunder, unter www.linox-gmbh.de.

Schnurpsel von früher?

Was wäre nun aber, wenn es schnurpsel.de vielleicht schon vor meiner Zeit mit ganz anderen Inhalten gegeben hat? Ausschließen kann man das nicht, denn ich habe die Domain erst im Juni 2007 registriert und mein erster Artikel erschien am 06.06.07. Also habe ich mal bei archive.org nachgesehen, dort kann man die Internetgeschichte bis 1996 zurückverfolgen.

Und siehe da, schnurpsel.de gab es bereits von März 2001 bis zum Februar 2005. Leider kann man keine Inhalte mehr sehen, da die Domain damals nur per Frameset auf eine private Homepage bei berlinweb.de weiterleitete. Diese gehörte wohl einem gewissen ComiXxx aka Thomas Antelmann. Es war aber bestimmt keine Handelsfirma für Erze und Metalle.

Fazit

So hat mich eine (vermutliche) Spam-E-Mail zumindest dazu gebracht, mal in die Vergangenheit meiner Domain abzutauchen, von der ich vorher nicht vermutet hätte, das es sie überhaupt gibt.

Bei beiden Seiten ist das “Design” eher etwas altbacken, technisch mit Tabellen realisiert. Das wundert mich besonders bei Christoph, der ja vorgibt, im vierten Studienjahr Informatik zu studieren. Abderrahim hingegen studiert schon im fünften Studienjahr im Fach “Techik”, richtig, nur Technik. Komisch auch, daß Christoph als E-Mail-Adresse Christian@ verwendet. Aber egal, das ist alles vielleicht nur Zufall.

Wenn man sich nun die Seiten von Christoph und Abderrahim ansieht, fallen weitere Gemeinsamkeiten auf. Beide berichten über Stromanbieter und verlinken auf Stromsuche. Beide schreiben über Gutscheine und Coupons und verlinken auf Gutscheindorado. Und jetzt kommts, beide Kommentare wurden von derselben IP-Adresse abgesetzt, Anbieter ist Kabel-Deutschland (dynip.superkabel.de). Aber auch das ist möglicherweise alles nur Zufall :-)

Was mich eher interessieren würde, wie die Seiten bei den Unis dort hinkommen. Werden für ein paar Euro Studenten gekauft, die dann Ihren Uni-Zugang dafür hergeben. Oder wurden die Accounts geknackt oder gibt es sonst eine Lücke, die es ermöglicht, auf Uni-Servern Seiten abzulegen?

Na mal sehen, ob und wie das weitergeht…

So muß ich nun nicht nur freeimages-de aussperren, sondern auch noch images-de. Oder doch gleich bloggum insgesamt? Ich weiß nicht…

Mit Dieben ist man früher nicht zimperlich gewesen. Die wurden kurzerhand an den Pranger gestellt und hatten da nichts zu lachen. Gut, die moderne Form des digitalen Prangers gibt es ja auch und das kann manchmal noch schlimmere Folgen haben.

Was mich schon immer interessiert, nach welchen Gesichtspunkten wählen die Spambots Ihre Zielseiten aus. Gibt es irgendein System oder wird einfach zufällig gestreut? Ich habe dashalb alle Spamversuche aus den drei oben genannten Monaten aufsummiert und eine kleine Tabelle erstellt:

Ich habe nur die Seiten und Artikel berücksichtigt, die 5% oder mehr am Spamaufkommen ausmachen. In der Spalte PR steht der aktuelle Google-Pagerank und in der Spalte Kom die Anzahl der abgegebenen und freigeschalteten Kommentare.

Alle Seiten oder Artikel sind schon mindestens ein Jahr alt. Der Artikel “Wordpress 2.7 – Wartungsmodus ohne Plugin” mit dem höchsten Pagerank (4) gehört mit 0,8% nicht zu den Favoriten der Spambots, allerdings immerhin zwei der Seiten mit den meisten Kommentaren.

Was kann man nun daraus schließen? Nichts, würde ich sagen :-)
Es gibt wohl kein offensichtliches Muster, nachdem sich die Spambots die Artikel aussuchen, zumindest kann ich keins erkennen.

Interessant fand ich allerdings die Tatsache, daß zwar selten, aber ab und zu doch Kommentarspam fast in Echtzeit auftauchte, nur wenige Stunden nach Veröffentlichung eines Artikels. Rekord war dabei mal eine knappe halbe Stunde. Schon erstaunlich.

Der “Aufhänger” war aber wohl der Bilderklau beim TagSeoBlog und so will ich mich hier auch nur auf dieses Problem beziehen.

Von Bilderdieben und Raubkopierern

Im richtigen Leben ist das alles klar und weitestgehend eindeutig definiert. Geht jemand in eine Gemäldegalerie, hängt dort heimlich ein Bild ab und nimmt es mit nach Hause, so ist das Diebstahl und derjenige ein Bilderdieb. Tut er so etwas zudem unter Anwendung von Gewalt oder Androhung von Gefahr für Leib oder Leben von Personen, so ist das Raub. Was nun genau ein Raubkopierer macht, ist mir allerdings nicht klar. Ich könnte mir aber vorstellen, daß das jemand ist, der z.B. eine bestimmte Ablauf eines bekannt gewordenen Raubes nachahmt, mithin also den Raub in der Vorgehensweise kopiert :-)

Beiden Delikten, Diebstahl und Raub, ist gemeinsam, daß es sich um die Wegnahme einer fremden beweglichen Sache handelt. Deshalb wird ein Diebstahl meist auch recht schnell bemerkt, denn der entwendete Gegenstand, z.B. das Gemälde, ist ja nicht mehr da.

Bildkopien und Hotlinking

In der digitalen Welt sieht das nun etwas anders aus, auch wenn hier unzutreffenderweise die Begriffe aus dem richtigen Leben verwendet werden. Denn normalerweise wird ein Bild ja nicht “entwendet”, so daß es plötzlich beim Besitzer fehlt, sondern nur eine Kopie angefertigt und an anderer Stelle verwendet (Bildkopie). Das führ auch dazu, daß die unrechtmäßige Verwendung eines Bildes erst sehr spät oder auch gar nicht bemerkt wird. Oft kommt so etwas nur eher zufällig ans Tageslicht.

Besonders im Internet wird oft noch nicht mal eine Kopie eines Bildes angefertigt, sondern das Bild einfach direkt von der fremden Seite eingebunden (Hotlink). Dadurch wird nicht nur das Bild möglicherweise unberechtigt verwendet, sondern auch noch der Server des “Bestohlenen” belastet und ein zusätzliches Datenaufkommen erzeugt. Andererseits sind diese Hotlinks recht schnell zu erkennen, wenn man sich als Webmaster ab und zu die Serverlogfiles daraufhin ansieht.

Urheberrecht

Die oben genannten Bildkopien bzw. das Hotlinking sind also kein Diebstahl oder gar Raub, sondern Verletzungen des Urheberrechtes.

Die wichtigsten Punkte im Urheberecht sind wohl Veröffentlichungs-, Verwertungs- und Folgerechte die es dem Schöpfer eines Werkes erlauben, allein darüber zu bestimmt, ob, wann, wo und in welcher Form sein Werk der Öffentlichkeit zugänglich gemacht und wie es im weiteren verwertet, verbreitet und vervielfältigt wird.

Meine Bilder

Im Allgemeinen habe ich nichts dagegen, wenn meine hier oder bei Putzlowitsch veröffentlichten Bilder von Dritten verwendet werden. Sei es nun in Communities, Foren oder anderen Blogs. Auch mit Hotlinks habe ich im Zeitalter von “unbegrenztem” Traffic keine Probleme, ganz im Gegenteil, bin ich doch darüber schon auf die eine oder andere interessante Seite gestoßen.

Wenn nun aber meine Bilder dreist auf irgendwelchen Spam-Seiten landen oder in einem mir sonst wie nicht genehmen Kontext (z.B. rechtsradikale Foren) erscheinen, dann habe ich schon etwas dagegen. Da es bisher meist nur Hotlinks waren (bei Kopien habe ich es möglicherweise nur noch nicht bemerkt), gehe ich dagegen mit einer technischen Maßnahme vor.

Bilder-Hotlink unterbinden

Normalerweise sendet der Webbrowser eines Nutzers beim Aufruf einer Seite oder eines Bildes die Information mit, woher der Aufruf kommt. Bei einem Link ist das die verlinkende Seite oder bei einem sichtbaren Bild eben die Seite, auf der das Bild angezeigt wird. Diese Information, den so genannten REFERER kann der Webserver auswerten und gegebenenfalls bestimmte Aktionen ausführen. Das Ganze läuft über das Servermodul mod_rewrite und wird über die Datei .htaccess konfiguriert. Damit kann man dem Webserver z.B. sagen, daß wenn die Seite xyz aufgerufen wurde, er doch stattdessen bitte die Seite abc ausliefern oder einen Fehlercode zurückgeben soll.

Die einfachste und zugleich radikalste Variante, dem Hotlinking zu begegnen, ist folgender Dreizeiler:

RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)?schnurpsel.de/.*$ [NC]
RewriteRule \.(gif|jpe?g|png)$ - [F,L]

So oder ähnlich findet man das auf vielen Webseiten als Empfehlung, wie man sich gegen das Hotlinking schützen kann. Die Strategie ist hierbei, allen die Zugriffe auf Bilder zu verbieten (3. Zeile), und nur Zugriffe von der eigenen Seite zuzulassen (2. Zeile). Die 1. Zeile nimmt etwas Radikalität wieder raus, denn auch wenn der Referer leer, also nicht bekannt ist, woher der Aufruf kam, werden die Bilder angezeigt. Ohne Zeile eins würde man z.B. alle Suchmaschinen-Bots aussperren und auch die User, deren Browser den Referer unterdrückt.

Unberechtigte Zugriffe werden hier vom Webserver mit dem Fehlercode “403 Forbidden” quittiert, der Browser zeigt dann für ein Bild nur den Alternativtext (falls vorhanden) und eventuell ein Fehlersymbol an. Die Antwort ist klar und deutlich, der Zugriff ist verboten und wird verweigert.

Meine Hotlink-Strategie

Ich bin da nicht ganz so konsequent sondern fahre eine andere Strategie. Ich erlaube prinzipiell allen den Zugriff und schließe nur unerwünschte Seiten aus. Ich will ja nicht die vielen netten User von Jappy, Schnappy und Zappy daran hindern, sich gegenseitig ihre “Gästebücher” mit Bildern vollzukippen :-)

Bei mir sieht die Hotlinkabwehr deswegen etwas komplizierter aus:

RewriteCond	%{REQUEST_FILENAME} -f
RewriteCond	%{REQUEST_URI}	!^/images/1x5120.gif$
RewriteRule	\.(jpg|gif|png)$	-	[NC,C]
RewriteCond	%{HTTP_REFERER}	hotlink\.schnurpsel\.de [NC,OR]
RewriteCond	%{HTTP_REFERER}	bilderdieb\.schnurpsel\.de [NC,OR]
RewriteCond	%{HTTP_REFERER}	xxxx-yyyy\.zz
RewriteRule	.	/images/1x5120.gif	[T=image/gif,L]

In der 1. Zeile wird geprüft, ob die angeforderte Datei überhaupt existiert. Falls nicht, soll nicht die Hotlink-Abwehr greifen, sondern die normale Fehlerbehandlung ablaufen.

Da ich nicht einfach den Statuscode 403 zurückliefern will, sondern ein Ersatzbild, wird in der 2. Zeile geprüft, ob nicht gerade das Ersatzbild angefordert wird. Dann darf die Hotlink-Abwehr nicht erneut anspringen, sonst gäbe es eine prima Endlosschleife.

Die 3. Zeile selektiert nur die Zugriffe, die ein Bild mit einer der angegebenen Datei-Erweiterungen betreffen, hier also jpg-, gif- und png-Bilder. Die Liste kann natürlich beliebig erweitert werden. Dabei kann man ein klein wenig optimieren, in dem man den Bildtyp nach der Reihenfolge ihrer Häufigkeit angibt. Da bei mir die meisten Bilder vom Typ jpg sind, brauchen die restlichen Einträge dann nicht mehr überprüft werden.

Mit den Zeilen 1 bis 3 werden Vorbedingungen geprüft und nur wenn die angeforderte Datei existiert, nicht das Ersatzbild ist und dem richtigen Dateityp entspricht, wird der Rest abgearbeitet.

Die Zeilen 4, 5 … n-1 enthalten die eigentlichen Bedingungen, wann ein Hotlink als böse einzuordnen ist. Hier wird auf den oben schon angesprochenen Referer Bezug genommen und jede Seite eingetragen, von der Hotlinks unerwünscht sind. Auch hier kann man etwas optimieren, indem man die häufigsten Seiten an den Anfang der Liste stellt. Man kann hier aber auch andere Bedingungen einsetzen, z.B. IP-Adressen. Eine ausführliche Beschreibung zum Apache-Rewrite-Modul findet man hier.

Die letzte Zeile n gibt dann nur noch das Ersatzbild aus, bei mir ein transparentes GIF-Bild mit einem Pixel Breite aber über 5000 Bildpunkten Höhe. Zu sehen ist es nicht, aber es reißt die Seite an der Stelle weit auseinander, ja nach dem, wie das Bild auf der Hotlinkseite eingebunden ist. Außerdem liefere ich, egal was für ein Bildtyp angefordert wird, immer das Gif-Bild aus. Deshalb wird noch der richtige Content-Type (image/gif) gesetzt.

So sieht es aus

Zur Demonstration habe ich mal zwei böse und eine gute Sub-Domain erstellt, damit man sehen kann, wie sich das Ersatzbild auswirkt.
Die gute Seite:
Der alte Hut
Die bösen Seiten:
Bilderdieb
Hotlink
Hinweis zu den bösen Seiten: Wenn man sich zuerst die gute Seite angesehen hat, dann wird auf einer der bösen Seiten möglicherweise trotzdem der Hut und nicht das Ersatzbild angezeigt. Das liegt am Caching durch den Browser. Man muß dann nochmal das Neuladen der Seite erzwingen, beim Firefox z.B. mit Shift+Reload-Button oder Strg+F5.

Vorerst reicht mir meine Hotlink-Abwehr per Ersatzbild für böse Seiten, die Seiten und Abrufe sind allerdings auch recht überschaubar. Problematisch wird es, wenn die Liste mit den Seiten gar zu lang wird, denn die muß der arme Webserver immer von oben bis unten abarbeiten. Das könnte sich dann mit schlechten Antwortzeiten und höherer Serverlast bemerkbar machen.

Nachtrag: Ich habe es nicht extra erwähnt, aber damit die Regeln überhaupt abgearbeitet werden, muß normalerweise die Rewrite-Engine eingeschaltet werden. Zudem sollte man prüfen, ob das Modul mod_rewrite überhaupt zur Verfügung steht. So sieht dann meine Variante komplett aus:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_URI} !/bilder/bild-foto/die-besten-bilder-der-welt.jpg$
RewriteRule \.(jpg|gif|png)$ - [NC,C]
RewriteCond %{HTTP_REFERER} bilderr\.com [NC,OR]
RewriteCond %{HTTP_REFERER} pictures-images\.com [NC,OR]
RewriteCond %{HTTP_REFERER} freeimages-de\.bloggum\.com [NC,OR]
RewriteCond %{HTTP_REFERER} zaggla\.com [NC]
RewriteRule . /bilder/bild-foto/die-besten-bilder-der-welt.jpg [T=image/jpg,L]
</IfModule>

Dieser Block sollte noch vor allen anderen Rewrite-Blöcken stehen, also auch vor den Wordpress-Permalink-Eintrag.

Komischer Link

Hin und wieder schaue ich mal in die Google-Webmastertools, wie es so um meine Seiten bestellt ist. Neben allerlei anderen, nützlichen Sachen gibt es auch eine Übersicht, welche Probleme es möglicherweise beim Abfragen der Seiten durch den Google-Bot in letzter Zeit gab. Und diese Übersicht zeigt mir im Moment dieses hier an.

Gut, die Fehler 1,2 und 4 sind klar, die kann ich nachvollziehen, aber was bitte ist Fehler 3?

/warning_this_is_english_domain_to_solve_this_problem_submit_site_in_atoall.com.html

Wenn ich irgend sowas Seltsames finde, suche ich erstmal bei Google, was das denn bedeuten könnte. Das Ergebnis hat mich dann doch überrascht. Diese komische, nichtexistierende Seite gibt es auf einigen Tausend Domains. Wenn man die Suche nur auf deutsche Seiten beschränkt, findet man sogar prominente Seiten wie www.ard.de oder www.wetter.de.

Aber wieso nimmt Google diese vermutlich nicht wirklich existierenden Seiten in den Index auf, die offensichtlich Ergebnis einer, wie auch immer gearteten Spamaktion sind?

HTTP-Statuscode

Hier kommt nun der HTTP-Statuscode ins Spiel, denn was im Fehlerfall dem Nutzer angezeigt wird, ist das eine. Viel wichtiger ist aber, mit welchem Antwortcode die Seite ihr Ergebnis zurückliefert. Bei einem “normalen” Fehler, wie z.B. einer nichtexistierenden Seite, sollte das der Code 404 Not Found sein. Zu den Statuscodes hatte ich bereits vor einiger Zeit etwas geschrieben. Was machen aber alle die Seiten, die man in der Google-Suche zu der seltsamen URL findet. Sie geben einfach den Code 200 Ok zurück, damit geht der Google-Bot davon aus, daß die Seite existiert, und nimmt sie in den Index auf.

Manche Seiten zeigen zumindest dem Nutzer an, daß ein Fehler aufgetreten ist. Die zwei oben genannten Beispiele tun aber so, als sei alles in Ordnung und präsentieren dem Nutzer die Startseite. Das finde ich ohnehin immer ein Unding, weil der Nutzer überhaupt nicht mitbekommt, das etwas nicht stimmt. Gut, man muß nun den User auch nicht unbedingt mit einer spartanischen Fehlermeldung wie hier auf schnurpsel.de erschrecken, aber so zu tun, als sei nichts passiert, ist auch nicht der richtige Weg. Wenigstens sollte man den Statuscode 404 ausliefern, den sieht der Nutzer ja nicht.

Meine Deutung

Ich würde diese Sache mal als Webmaster-Spam verbuchen, denn die Treffer in der Google-Suche findet man nur mit der vollständigen URL. Hätte der “Spamerfinder” es auf Google-Treffer abgesehen, hätte er die einzelnen Wörter mit Bindestrichen und nicht mit Unterstrichen trennen müssen.

Aber Webmaster, die sich entweder mit den Google-Webmaster-Tools oder einfach mit den Errorlogs des Webservers die Fehler hin und wieder ansehen, stoßen auf diese URL. Eventuell ist ja der eine oder andere Neugierig, zumal der gelesene URL-Text irgendwie nach einer Systemmeldeung klingt, und besucht die Seite am Ende der URL. Naja, und was er da dann findet…

Nachtrag (2.11.):
Der Sachverhalt mit den komischen URLs ist schon jemandem 10 Tage vor mir aufgefallen, wie ich hierrüber entdeckt habe. Ähmmm, stand ja auch schon im ersten Kommentar. Ich sollte die Kommentare mal ernst nehmen :-)

Beste Grüße nach Görlitz :-)

Ich habe nach längerer Zeit mal wieder die Google-Webmastertools aufgerufen um zu sehen, was ich denn so für eingehende Links auf meine Putzlowitsch-Seite habe. Der erste Blick zeigte nicht viel Neues, auf den zweiten Blick habe ich aber eine Seite entdeckt, die mir völlig unbekannt ist. Neugierig bin ich dem Link gefolgt und wurde zu einem alten Bekannten, dem TagSeoBlog und dort auf die Startseite weitergeleitet.

Hier habe ich dann den aktuellen Artikel “Aktuelle Meldungen aus der Blogosphäre” mit zu dem Zeitpunkt drei Kommentaren gelesen. Ein Kommentar von Mirco (seo2feel) geht am Ende auf das Problem topsy.com (Spam oder nicht?) ein und verweist auf einen eigenen Beitrag “Topsy die neue Spamschleuder“. Und genau dort ist mir in den Kommentaren etwas aufgefallen.

Kommentar-Recycling

Beim Lesen der Kommentare wurde ich bei Kommentar Nr. 7 stutzig. Den hatte ich doch schon mal gelesen, also flux nach oben gescrollt und siehe da, da war er schon mal als Nr. 2. Allerdings nicht wirklich, denn sowohl Kommentator als auch Link unterscheiden sich, und der Kommentartext selbst auch. Allerdings nur in der Anordnung der Wörter, die Wörter selbst sind dieselben:

Neben der Umstellung des Satzbaus gibt es noch zwei kleinere Abweichungen. Aus einzigste wird einzigster und aus Stadtportale wird Stadtportal. Aber warum sollte man einen Kommentartext wiederverwerten?

Aus meiner Sicht gibt es nur einen Grund, man will inhaltsbasierte Spamabwehr-Ansätze wie Akismet oder einfache Stopwortlisten austricksen. Die Idee ist einfach, man sucht sich einen Kommentar, der bereits genehmigt wurde (klar, sonst wäre er ja nicht zu sehen) und verwendet genau die Wörter für den eigenen “Kommentar”. Damit es nicht zu offensichltich ist, gruppiert man die Wörter etwas um. Da das am Inhalt aber nichts ändert, ist die Wahrscheinlichkeit in eine inhaltsorientiert Spamabwehr zu laufen, sehr gering. Und schon hat man einen Link von einer themenrelevanten Seite platziert.

Oder doch nicht?

Vielleicht sehe ich ja auch zu schwarz, ist gar nichts dran und es war nur der etwas hilflose Versuch eines der deutschen Sprache nicht mächtigen, in einem deutschsprachigen Blog einen Kommentar zu hinterlassen. Die Idee als solche finde ich aber schon nicht schlecht, also das mit dem Kommentar-Recycling für Spamkommentare :-)

Kleiner Hinweis noch, es sind 4 Ziffern (in Worten: vier).

Kannst Du nichts erkennen? Einfach warten, nach ein paar Sekunden wird ein neuer Code eigeblendet.
Immer noch nicht? Na dann rate ich zu einem Besuch beim Augenarzt! :-)

Solche Sachen bekommt man auf manchen Seiten vorgesetzt. In dem Fall war es eine Flirt-Seite, natürlich alles 100% kostenlos und völlig unverbindlich.

Hier noch die Auflösung des Zahlenrätsels. Ich habe einfach den Gammawert etwas hochgedreht.

Woher weiß man nun aber, woher die Links kommen? Man kann es unter anderem in der Webserver-Logdatei sehen, dort wird der soganannte Referer möglicherweise mit gespeichert und das ist genau die Information um zu erkennen, wie der Besucher auf die Seite gelangt ist. Wenn er z.B. über eine Suche von Google gekommen ist, kann man sogar herausfinden, wonach der Benutzer bei Google gesucht hatte.

Der Referer wird normalerweise vom Web-Browser des Nutzers an den Webserver beim Aufruf einer Seite im sogenannten HTTP-Request mitgeschickt, kann aber ebenso fehlen oder sonst irgendwie verändert sein. Er kann auch auf irgendeine beliebige andere Webseite verweisen, auf der überhaupt kein Link zur eigenen Seite existiert. Genau das machen sich Spammer zunutze, man spricht dann von “Referer-Spam”, eine Technik, die es schon seit einiger Zeit gibt.

In letzter Zeit habe ich hier häufiger eingehende Links von Seiten, die als /map.html erscheinen. Immer von irgendwelchen .com-Hosts mit so interessanten Namen wie facsimile-prints, trollcollective oder yachting-swap, in den letzten 30 Tagen ungefähr 20 unterschiedliche Seiten mit jeweils vier bis sieben Aufrufen.
Auf den Seiten selbst findet man dann lange Listen mit Links, die alle nach pharmazeutischen Produkten klingen, so Sachen wie adipex, didrex, medrol, prozac und xanax. Diese Links sind aber wiederum nur Weiterleitungen auf andere Seiten die allerdings meist nicht funktionieren. Also weiß ich nicht, wo man dann wirklich landet, interessiert mich aber auch nicht. Es ist halt Spam, Referer-Spam.

Falls also jemand vermehrt eingehenden Links von *.com/map.html hat, nicht zu früh freuen, es wir mit hoher Wahrscheinlichkeit Spam sein.