Databaser och Webbprogrammering

Jag hittade en site som har stulit innehållet från dbwebb och använder det för att placera sig i sökmotorrankingen på dbwebbs bekostnad och länka vidare till lättklädda damer (jag såg inga lättklädda herrar).

Liknande sak hände i somras/höstas.

När man googlar på dbwebb (anonymt) så ser man deras site på andra sidan, så de har lyckats hyffsat bra så här långt.

Denna gången är jag inte jätteintresserad av exakt hur de gått tillväga. Jag kollade snabbt om jag kunde se trafik från deras site, till min site, när jag accessar deras sidor. Det ger mig en indikation på om de har kopierat innehållet eller om de använder innehållet via min site. Jag lutar åt att de delvis har kopierat innehållet.

Så, hur stänger man snabbast ned en site så gör sånt här?

Och hur upptäcker man det per automatik, när någon stjäl ens content?

Jag tar hjälp av en bloggpost, så får vi se hur det går. Jag fokuserar på nedstängningen.
https://blog.kissmetrics.com/find-remov ... n-content/

Via verktyget Copyscape kan jag se att en site har duplicerat mitt content.


Att kontakta sitens ägare känns rätt meningslöst. Vi får anta att de vet vad de håller på med.

1) Jag använder WhoIsHostingThis för att ta reda på vem som hanterar domänadressen.

Det ser ut som Cloudfare och jag skickar in en abuse-rapport till dem.

Stolen (duplicated) website content

Infringing URLs
https:// mand**teln.tk/

The original work is in:
https://dbwebb.se/

The attacker is duplicating the whole website under their own domainname to achieve visibility in the SERP.

Once their site is visible in the SERP they are chainging the original content with nude pictures.

2) Sen går jag till Google och anmäler innehållet för borttagning. I slutändan blir det en rapport om "Rapport om påstått intrång i upphovsrätten: Webbsökning".

Min webbplats dbwebb.se har blivit kopierad och driftas på en annan domän som vill placera sig i sökresultatet. När de är placerade i serpen så byter de ut sidorna mot nakenbilder.

När det är klart ser jag att rapporten ligger för behandling.



3) Jag gör ett försök till att se hur de kopierar mitt innehåll. Jag känner igen bilderna från förra angreppet så det är samma angripare. Jag hittar vilken ip-adress de använder för att hämta sidorna från min webbplats. Det är bara första gången som en sidaccess visas i loggen, sedan cachar de resultatet på sin egen webbplats.

195.154.50.178 - - [13/Feb/2018:14:06:14 +0100] "GET /kunskap/typografi-i-mobila-enheter HTTP/1.1" 200 30966 "https://dbwebb.se/kunskap/typografi-i-mobila-enheter" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"

Fint, då har jag en IP att blocka. Det gör jag i mina apache config filer. Det kommer hindra dem att hämta hem mer material (än det de redan cachat), tills de byter ip-adress.

4) Nu när jag har deras ip-adress så tar jag reda på vem som driftar den servern, den som äger ip-numret. Det var online.net. Jag rapporterar abuse hos dem.

This IP-adress is used to steal and duplicate content from my website.

The stealing website is http ://mandanteln.tk/ and they are stealing/duplicating content from my website https://dbwebb.se using your ip-adress.

Min förhoppning är att stänga ned busen lite snabbare än i somras. Fokus på nedstängning.

5) Jag kollade när busen började denna gången. Jag såg dessa spår.

195.154.50.178 - - [27/Jan/2018:08:08:43 +0100] "GET /kod-exempel/cimage_/webroot/img/kodim22.png HTTP/1.1" 301 3620 "https://dbwebb.se/kod-exempel/cimage_/webroot/img/kodim22.png" "Googlebot-Image/1.0"
195.154.50.178 - - [27/Jan/2018:08:11:02 +0100] "GET /image/oopython/kmom04/exceptions_top.png HTTP/1.1" 200 15643 "https://dbwebb.se/image/oopython/kmom04/exceptions_top.png" "Googlebot-Image/1.0"

Det ser ut som nuvarande angrepp påbörjades i slutet av januari. Nåja, låt se om vi kan få busen att fösvinna.

Yepp, nu får den lite 403 när den försöker hämta materialet från dbwebb.se. Det är min uppdatering av Apache configfiler som löser det genom att spärra access från bovens ip-adress.

195.154.50.178 - - [13/Feb/2018:15:09:37 +0100] "GET /kunskap/typografi-i-mobila-enheter HTTP/1.1" 403 3499 "https://dbwebb.se/kunskap/typografi-i-mobila-enheter" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"

Alltid något.

Låter som den som driftar ip-adressen är snabb på att svara när någon försöker ta ned dem. Så här svarar de till hostingleverantören när jag försöker ta ned ip-adressen.

ONLINE SAS
Technical assistance
BP 438 - 75366 Paris CEDEX 08
France

Tel: 01 84 13 00 00

Subject : Abuse notification resolved

Dear Sir or Madam,

Your abuse number 203611 is now closed.

Here is a comment left by our customer:
----------------------------------------------------------------

Hello.
Our site was susceptible to XSS attack through the Wordpress plugin Gravity Forms with using function remove_query_arg(). We fixed the problem and check our server for possible vulnerabilities.
You can check it here: https://sitecheck.sucuri.net/results/mandanteln.tk
It can be cached for max of 24 hours.
We apologize for the inconvenience. Thanks, Alex.

----------------------------------------------------------------

If you have any questions, please contact our assistance https://console.online.net/assistance/

Jag gissar det är ett standardsvar som gör att de undviker nedtagning.

Eventuellt kan man försöka ta ned deras domänadress oxå, osäker om det funkar, men man kan testa en rapport om copyright infringament. Här kan man söka ut info om DNS:en.

Boven är nedstängd för tillfället. Oklart om det är något som jag initierat, eller om hen bara gick sönder.

"Down Fido, stay down."

Jag fick mail av Google som hade försökt plocka bort webbplatsen från serpen, men de kunde inte nå den.

Jag dubbelkollade och siten är nere för tillfället.

Tittar i loggarna och då ser jag att siten genererar viss trafik.

Nåja, får ha fortsatt koll.

Verkar som boven gick och gömde sig.

Copyscape hittar inget nu.

Domänadressen verkar nedstängd, den mappar inte mot en ip längre.

Senaste loggentryt från boven i min apache logg är från 2/3, eventuellt har boven bytt ip.

Får sova med ena ögat öppet.

Verkar som det gick snabbare att bli av med boven via den taktiken jag hade denna gången.

Japp, boven gick över till ett annat ip, 93.115.26.30.

Jag blockar honom tillsammans med alla andra bovaktiga ip-adresser.

Via access-loggarna lyckades jag se vilket ip som han nu har, jag lyckades koppla ihop hans tidigare trafik med den han har nu och gissa mig fram till att det är han, eller hon.

Trixet är att jag nu bara vet ip-adressen och inte (ännu) från vilken domänadress han troligen försöker göra SERP-attacken. Det är något jag inte kan koppla ihop bakvägen. Ska klura.

För första gången känner jag ett visst behov av en branddvägg för att utesluta trafiken från bovarna, så de inte når fram till Apache.

En sak som bovarna också använder sig av är ogPipe.asx, det hjälper mig att se vilka ipadresser som är bovaktiga.

Vill man bygga upp ett skydd, med en brandvägg som frontar webbplatsen, så är det något i stil med Wordfence (och varianter av det) man vill uppnå. Jag gissar att opensource varianter finns tillgängliga med motsvarande, men det är en hel del kunskap och konfiguration som behövs för att det skall fungera.