dbwebb hijackad i serpen

  • Författare
  • Meddelande
Online
Användarvisningsbild

mos

dbwebb

  • Inlägg: 8890
  • Blev medlem: 10 nov 2011, 09:52
  • Ort: Ronneby / Bankeryd

dbwebb hijackad i serpen

Inlägg01 aug 2017, 15:36

Såg att dbwebb var hijackad i serpen (sökmotorresultatet Google), dock inte i Bing.

Bild

Jag rapporterade till Google så ser vi vad som händer.

Siten som dyker upp gör en redirect till site med lättklädda individer.
...
..:
.... /mos
Online
Användarvisningsbild

mos

dbwebb

  • Inlägg: 8890
  • Blev medlem: 10 nov 2011, 09:52
  • Ort: Ronneby / Bankeryd

Re: dbwebb hijackad i serpen

Inlägg02 aug 2017, 12:11

Tekniken de använder för att på detta sättet hijacka dbwebb i serpen är beskriven här:
https://www.ranksense.com/blog/the-neve ... -solution/

Problemet kan beskrivas "Proxy Server URLs Can Hijack Your Google Ranking".

Om man använder en webbläsare för att accessa den illvilliga webbplatsen blir man redirectad till lättklädda bilder.

Men om man ställer in Google Bot som User Agent så ser man en kopia av dbwebb.se. Webbplatsen använder en proxy för att skicka vidare alla frågor till den riktiga webbplatsen och på så sätt lyckas den visa upp den riktiga webbplatsens innehåll under sitt eget domännamn. Tekniken beskrivs i artikeln tillsammans med en open source mjukvara som kan utföra jobbet.

Google märker duplicate content och väljer i detta fallet att lita på boven.

Så här kan det se ut när man besöker deras webbplats som Google bot och ser den riktiga webbplatsen.

Bild

Så, hur kan man skydda sig? Det är egentligen svårt/omöjligt, men jag skall se om jag kan hitta på nåt som gör det svårare för boven, jag har två ideér som skall testas.
...
..:
.... /mos
Online
Användarvisningsbild

mos

dbwebb

  • Inlägg: 8890
  • Blev medlem: 10 nov 2011, 09:52
  • Ort: Ronneby / Bankeryd

Re: dbwebb hijackad i serpen

Inlägg02 aug 2017, 12:39

När requesten kommer till dbwebb.se ser den ut så här i loggen.

Kod: Markera allt
185.32.189.38 - - [02/Aug/2017:12:16:47 +0200] "GET /material HTTP/1.1" 200 20179 "https://dbwebb.se/kurser" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"


Kikar man på ip-adressen så ser den ut att komma från Lissabon/Portugal, kuriosa.

Om deras proxy "går sönder" så ser man att de använder en tjänst/hosting från Cloudfare via en 502-sida, kuriosa.
Bild

Om man kikar på detaljerna som de lämnar efter sig när de efterfrågar en sida, tex dbwebb[.]se/a.php som jag temporärt satte upp, så kan vi skriva ut $_SERVER.
Kod: Markera allt
Array
(
    [SCRIPT_URL] => /a.php
    [SCRIPT_URI] => https://healthacadiemy.ga/a.php
    [HTTPS] => on
    [SSL_TLS_SNI] => dbwebb.se
    [HTTP_USER_AGENT] => Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
    [HTTP_CONNECTION] => keep-alive, Te
    [HTTP_CACHE_CONTROL] => max-age=0
    [HTTP_ACCEPT] => text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
    [HTTP_TE] => trailers
    [HTTP_ACCEPT_LANGUAGE] => sv-SE,sv;q=0.8,en-US;q=0.6,en;q=0.4
    [HTTP_X_REAL_IP] => 81.227.89.252
    [HTTP_COOKIE] => __cfduid=d6e5dcbc5bc69e4557a35a4ba6fe9375b1501667833; _ga=GA1.2.820229643.1501667834; _gid=GA1.2.186406643.1501667834
    [HTTP_HOST] => dbwebb.se
    [HTTP_X_FORWARDED_PROTO] => https
    [HTTP_X_FORWARDED_FOR] => 81.227.89.252
    [HTTP_UPGRADE_INSECURE_REQUESTS] => 1
    [HTTP_REFERER] => https://healthacadiemy.ga/a.php
    [PATH] => /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
    [SERVER_SIGNATURE] =>
Apache/2.4.10 (Debian) Server at dbwebb.se Port 443


    [SERVER_SOFTWARE] => Apache/2.4.10 (Debian)
    [SERVER_NAME] => dbwebb.se
    [SERVER_ADDR] => 194.47.150.9
    [SERVER_PORT] => 443
    [REMOTE_ADDR] => 185.32.189.38
    [DOCUMENT_ROOT] => /home/mos/htdocs/healthacadiemy.ga/htdocs
    [REQUEST_SCHEME] => https
    [CONTEXT_PREFIX] =>
    [CONTEXT_DOCUMENT_ROOT] => /home/mos/htdocs/healthacadiemy.ga/htdocs
    [SERVER_ADMIN] => mos@uptime.dbwebb.se
    [SCRIPT_FILENAME] => /home/mos/htdocs/healthacadiemy.ga/htdocs/a.php
    [REMOTE_PORT] => 55054
    [GATEWAY_INTERFACE] => CGI/1.1
    [SERVER_PROTOCOL] => HTTP/1.1
    [REQUEST_METHOD] => GET
    [QUERY_STRING] =>
    [REQUEST_URI] => /a.php
    [SCRIPT_NAME] => /a.php
    [PHP_SELF] => /a.php
    [REQUEST_TIME_FLOAT] => 1501669824.816
    [REQUEST_TIME] => 1501669824
)


Här ser vi att deras namn finns med i flera av variablerna. Kanske kan vi göra något med den vetskapen. Låt se.
...
..:
.... /mos
Online
Användarvisningsbild

mos

dbwebb

  • Inlägg: 8890
  • Blev medlem: 10 nov 2011, 09:52
  • Ort: Ronneby / Bankeryd

Re: dbwebb hijackad i serpen

Inlägg02 aug 2017, 15:47

Så, jag valde att spärra access från den illvilliga siten via Apache. All trafik från siten spärras. Jag försökte först med namnet på domänen, referer, men fick det inte att fungera. Sedan körde jag på ip-adressen som trafiken kom ifrån och det fick jag att fungera.

Alltid något. När nu Googles bot hamnar på siten ser de en 403:a, forbidden. Förhoppningen är att Google tröttnar på siten och ser den som krashad.

Om siten byter ip-adress så kan de fortsätta sin verksamhet dock.

Jag hade även en annan plan att lägga in något i stylesheeten som gör att siten inte syns om man laddar stylesheeten från en annan webbplats än dbwebb.se. Det hade troligen fungerat och hade även hindrat nya försök.

Jag hade även en tanke att göra samma med bilderna, endast visa bilder som kommer utifrån dbwebb.se, det hade troligen också fungerat. Om inga bilder visas så hade google inte gillat siten. Det hade också varit ett sätt att hindra nya försök.

Jag är inte hundra på att dessa båda varianter hade funkat i detta fallet, kanske.

Jag får lägga dessa på minnet så får vi se vad som händer.
...
..:
.... /mos

alevor657

php-guru

  • Inlägg: 91
  • Blev medlem: 23 aug 2016, 20:22

Re: dbwebb hijackad i serpen

Inlägg04 aug 2017, 17:38

Usch, vad jobbigt.
Ska spåra tråden, håll oss uppdaterade :shock:
Online
Användarvisningsbild

mos

dbwebb

  • Inlägg: 8890
  • Blev medlem: 10 nov 2011, 09:52
  • Ort: Ronneby / Bankeryd

Re: dbwebb hijackad i serpen

Inlägg04 aug 2017, 23:03

Jag antar att man behöver bekämpa och förhindra när något sånt här händer. Det finns säkert en hel del man kan göra.

Nu är det så att alla bilder, javascript och stylesheets ligger på en annan domän. På den servern valde jag nu att endast tillåta att HTTP_REFERER är en maskin under domänen dbwebb.se. Jag tillåter alltså inte att någon direktlänkar till bilderna, eller att någon annan site inkluderar bilderna i sin webbplats, det är bara dbwebb.se som kan använda dessa resurser. Det är en inställning i Apaches configfiler.

Det får följande effekt hos busen.

Bild

Busen som lurar Google att tro att den har dbwebbs content kan inte längre servera varken css, js eller bilder till Googlebot. Tjii fick den.

Det borde efterhand få Googlebot att inse att det är inte en bra site. Dessutom hindrar detta att andra siter gör på liknande sätt.

Ett steg fram.
...
..:
.... /mos
Online
Användarvisningsbild

mos

dbwebb

  • Inlägg: 8890
  • Blev medlem: 10 nov 2011, 09:52
  • Ort: Ronneby / Bankeryd

Re: dbwebb hijackad i serpen

Inlägg07 aug 2017, 12:20

Jag publicerade lite nytt innehåll på dbwebb i form av blogginlägg som visas på förstasidan och stökade runt med länkar i sociala medier till dbwebb.se.

Jag kollade in busens webbplats och ser att de har en offline-kopia av webbplatsens förstasida, de har inte senaste versionen med senaste blogginlägget. Det innebär att dbwebb.se kommer att ha en nyare variant av informationen samt lite extra buzz i sociala länkar. Det bör ge signaler till Google att välja dbwebb.se och välja bort busen från serpen.
...
..:
.... /mos
Online
Användarvisningsbild

mos

dbwebb

  • Inlägg: 8890
  • Blev medlem: 10 nov 2011, 09:52
  • Ort: Ronneby / Bankeryd

Re: dbwebb hijackad i serpen

Inlägg08 aug 2017, 15:52

Jag la upp en fråga om detta på Webmaster Central, det ger ännu inte så mycket tips men innehåller en del kuriosa.
https://productforums.google.com/forum/ ... Ya6K60CwAJ
...
..:
.... /mos
Online
Användarvisningsbild

mos

dbwebb

  • Inlägg: 8890
  • Blev medlem: 10 nov 2011, 09:52
  • Ort: Ronneby / Bankeryd

Re: dbwebb hijackad i serpen

Inlägg09 aug 2017, 13:07

Jag försöker få lite mer koll på hur attacken gick till.

I korthet kan man säga att attacken började 14 april baserat på loggentries. Här är detaljer:
https://productforums.google.com/d/msg/ ... IuCncEBAAJ

Busen som initierade attacken hade User-Agent"AppEngine-Google; (+http://code.google.com/appengine; appid: s~gce-spider)" som en återkommande referens.

Jag spärrade den boten baserat på dess User-Agent via Apache config. Inte för det gör nån effekt i nuläget men det kändes bra.

Jag försöker klura ut om boten är känd eller inte.
https://webmasters.stackexchange.com/qu ... -a-bad-bot

Tittar man i Google Analytics om antalet indexerade sidor ser man en dipp ca 14 dagar efter att attacken troligen påbörjades.

Bild

Möjligen är dippen relaterad till attacken, men det är oklart.

Jag noterade också att Google ännu inte har indexerat bloggens nyheter, artikeln publicerades den 7:e augusti. Det ser ut som Google besöke dbwebb senast den 6:e augusti. Idag är det den 9:e augusti. Det känns dock lite udda, jag vill minnas att Google kunde finna nytt innehåll betydligt snabbar än så här. Kanske är det relaterat till boven eller så är det ett standardbeteende från Googlebot.
...
..:
.... /mos
Online
Användarvisningsbild

mos

dbwebb

  • Inlägg: 8890
  • Blev medlem: 10 nov 2011, 09:52
  • Ort: Ronneby / Bankeryd

Re: dbwebb hijackad i serpen

Inlägg14 aug 2017, 10:05

Elakingen bytte ip-adress så jag fick uppdatera.
...
..:
.... /mos
Online
Användarvisningsbild

mos

dbwebb

  • Inlägg: 8890
  • Blev medlem: 10 nov 2011, 09:52
  • Ort: Ronneby / Bankeryd

Re: dbwebb hijackad i serpen

Inlägg04 sep 2017, 09:17

Jag har inte fått någon hjälp av Google att plocka bort busen. Kanske kunde jag bombad dem mer mer mail, men jag är också lite intresserad av hur det löser sig utan deras hjälp.

Sakta men säkert börjar innehållet i serpen, de indexerade sidorna, ge utslag på hur det ser ut när sökmotorn redovisar resultatet.
Bild

Nu finns ingen fin förstaträff längre, som det gjorde tidigare. 9 av 10 träffar är relevanta men toppträffen är fortfarande busen. Innan detta hände visades en fin förstaträff med extra info från dbwebb och minst sex undersidor (om jag miss rätt).

Nåväl, vi ger det någon vecka till och ser vad som händer. Det är drygt en månad sedan vi upptäckte detta nu och det går åt rätt håll.
...
..:
.... /mos
Online
Användarvisningsbild

mos

dbwebb

  • Inlägg: 8890
  • Blev medlem: 10 nov 2011, 09:52
  • Ort: Ronneby / Bankeryd

Re: dbwebb hijackad i serpen

Inlägg18 sep 2017, 09:25

Idag verkar domänen healthacadiemy[dot]ga i princip vara bortplockad från Google serp. Googlar man på dbwebb får man inte längre den som förstaträff, det är ett fåtal dbwebb-träffar (2) om man googlar på domänens namn.
...
..:
.... /mos

Vilka är online

Användare som besöker denna kategori: Inga registrerade användare och 1 gäst