Backlink Spamming an einem aktuellen Beispiel

Peter Hoffmann 06.12.2011

Inhalt: 1. 2. 3. 4. Vorwort Einfhrung Analyse Nachwort

1. Vorwort
Suchmaschinenoptimierung ist eines der wichtigsten Marketingmanahmen der heutigen Zeit geworden. Das Internet stellt eine immense Mglichkeit fr Firmen dar, neue Kontakte zu knpfen und Kunden zu gewinnen. Wie so oft sind die Firmen am erfolgreichsten, die top Positionen erreichen. Dies ist auch bei der SEO so. Die bedeutendste Suchmaschine der heutigen Zeit ist Google. Sie hat einen Marktanteil von 82,8% (Quelle: Netmarketshare). Daher ist es sinnvoll Webseiten eher fr Google zu optimieren als fr andere Suchmaschinen. Das bedeutendste Kriterium fr Suchmaschinen sind Links. Sie werden hnlich wie bei Facebook als Likes, also als Empfehlungen interprtiert. Je mehr Backlinks eine Seite hat, desto wahrscheinlicher ist eine gute Platzierung. Daher ist es ziemlich verlockend, schnell viele Backlinks anzulegen, um eine top Platzierung zu erreichen. Dies kann durch legale, als auch durch illegale (Blackhat-SEO) Methoden erreicht werden. Wie in allen anderen Bereichen ist es auch hier so, dass die illegalen Methoden einen schnelleren Erfolg garantieren, jedoch eher auf kurze Erfolge aus sind, als fr langanhaltende top Positionierungen.

2. Einfhrung
Ein weit verbreitetes Internetphnomen sind sogenannte Geld-verdienen Seiten. Diese Webseiten enthalten verschiedene Mglichkeiten und Tipps wie man innerhalb krzester Zeit viel Geld verdienen kann. So die Theorie. In Wirklichkeit handelt es sich hierbei jedoch um Schneeballsysteme oder um Internetcasinowerbung. Meistens verdient der Betreiber der Webseite durch Affiliate Werbung. Immer wenn ein User sich bei einem der genannten Onlinecasionos anmeldet, erhlt der Betreiber einen vereinbarten Betrag. Das Ziel des Betreibers ist es nun, so viele User wie mglich dazu zu bewegen, einen Account bei dem Casion zu erstellen. Meist wird mit Tricks geworben, wie man das Casion betrgen kann. Diese Tricks funktionieren natrlich nicht und sind nur ein Mittel um die User zum Registrieren zu bewegen. Um so viele Besucher wie mglich zu bekommen setzen viele Betreiber auf Youtube-Spam oder Blog-Spam. Eine weitere Mglichkeit ist es, die eigene Seite bei den Google Suchergebnissen ganz nach oben zu bringen. Da die Keywords Geld verdienen jedoch sehr umstritten ist, muss man auf Blackhat Manahmen zurckgreiffen, um eine top Positionierung zu erlangen. Eine dieser Blackhat Manahmen ist Backlink Spamming. Eine beliebte Blackhat Spamming Methode ist, Webseiten zu hacken und unsichtbar einen Backlink zu platzieren. Dabei merkt der Betreiber der kompromitierten Seite nichts, denn der Link ist nicht auf Anhieb ersichtlich und die Funktion der Webseite ist nicht beeintrchtigt. Wie findet man jedoch schnell viele Webseiten, die kompromitierbar sind? Dafr bedient man sich einer alt bewhrten Methode. Man sucht sich ein bekanntes CMS System aus, sucht nach bekannten Sicherheitslcken und fgt in diesen Seiten den Backlink ein. Meist nutzt man SQL-Injection Lcken aus. Dabei kann man direkt in die Datenbank speichern oder das Administrator Passwort auslesen. Nun ist es ein Kinderspiel, die Webseite zu bearbeiten. Wichtig dabei ist, dass die kompromitierte Seite uerlich nicht verndert wird, denn nur so bleibt der Backlink lange unbemerkt. Nun muss man diesen hinzugefgten Link nur noch verstecken. Dies geschieht Mithilfe von CSS. Fertig ist der perfekte Blackhat Backlink.

3. Analyse
In diesem Bericht haben wir die Seite http://www.geld-verdienen.net/ analysiert. Sie steht zum aktuellen Zeitpunkt auf Platz 1 bei dem Suchbegriff Geld verdienen und hat einen Pagerank von 6. Eine beachtliche Leistung. Kommen wir nun zu der Analyse:

Zu erst einmal interessierten wir uns fr die Anzahl der Backlinks. EIne PR6 Domain an Platz 1 muss viele Backlinks besitzen, anders wrde Google sie an einer niedrigeren Position einordnen. Das Projekt Opensiteexplorer (http://www.opensiteexplorer.org) bietet eine Datenbank mit Backlinks zu bekannten Webseiten. Natrlich wird die Datenbank nicht jeden Tag geupdatet, also erhllt man auch Ergebnisse, die gar keinen Backlink enthalten. Dies war jedoch in diesem Fall ein positiver Nebeneffekt, doch dazu spter.

Die Seite hat 1127 Backlinks, eine nicht geringe Menge. Dies erklrt natrlich die Positionierung und den Pagerank. Doch woher bekommt eine unserise Seite so viele Backlinks? Um diese Frage zu beantworten, betrachtet man einfach die verlinkenden Webseiten. Um nur ein paar zu nennen: http://www.schwarzmueller.com/ http://sath.org/ http://www.pavillon-hannover.de/ All diese Websieten enthallten einen Backlink zu http://www.geld-verdienen.net/. Doch schnell wird klar, dass es sich hier um serise Webseiten von Firmen handelt.Was haben sie also mit Geld verdienen zu tun? Um die Frage zu beantworten, schaut man sich den Quellcode an. Man findet hier auch den Backlink, jedoch auch nur in dem Quellcode. Auf der Seite selber ist er unsichtbar. Wieso also?
<style>div.cawina{position:absolute;left:-1931px}</style><div class="cawina"><a href="http://www.geld-verdienen.net">schnell Geld verdienen</a></div> <a style="POSITION: absolute; LEFT: -1556px" href="http://www.geld-verdienen.net">Geld verdienen</a> <style>.pavstl {position:absolute;left:-2274px;}</style> <div class="pavstl"> <a href="http://www.geld-verdienen.net/">Geld verdienen im Internet</a> </div>

Wie man sieht, wird der Link per CSS auerhalb des Sichtbereichs plaziert, indem er sehr weit nach Links gerckt wird. Dadurch sieht der Webmaster oder der Seitenbesucher den Link nicht, jedoch wird er von Google erkannt, da Google nur den Quelltext selber betrachtet. Was noch auffllt, die Codesnippets sind alle unterschiedlich. Wieso, darber kann man nur

mutmaen, jedoch ist es wahrscheinlich, dass der Spammer dadurch die Erkennung von dem Code erschweeren wollte. Denn wenn er immer das gleiche Codesnippet nimmt, wre es sehr leicht alle kompromitierten Seiten zu erkennen und zu kontaktieren. Das ist aber nur eine Methode die hier verwendet wird. Es gibt noch eine zweite. Diese sieht man z.B. auf http://www.corp.at/ . Sehen Sie den Backlink? Natrlich nicht! Er versteckt sich hinter einem Bild, nmlich hinter dem AGEO Logo auf der rechten Seite.

Dieses Logo verlinkt auch auf die Seite des Spammers. Da sich jedoch so viele Logo auf der rechten Seite befinden, fllt es nicht auf anhieb auf. Anscheinend auch nicht dem Seitenbetreiber. Da nun die Frage geklrt wre, woher die ganzen Backlinks kommen, wollen wir analysieren, wie sie dahin gekommen sind, denn es ist sehr unwahrscheinlich, dass die Seitenbetreiber die Codesnippets freiwillig eingebunden haben. Dafr Analysieren wir die kompromitierten Webseiten. Was gleich auffllt, sie basieren zu einem sehr groen Teil auf dem kostenlosen CMS TYPO3. Dies erkennt man, wenn man sich den Quellcode der Seite anschaut und gleich oben im Header als Comment z.B.
<!-This website is powered by TYPO3 - inspiring people to share! TYPO3 is a free open source Content Management Framework initially created by Kasper Skaarhoj and licensed under GNU/GPL. TYPO3 is copyright 1998-2009 of Kasper Skaarhoj. Extensions are copyright of their respective owners. Information and contribution at http://typo3.com/ and http://typo3.org/

steht. Alle Webseiten die noch einen Backlink enthalten, basieren auf einer lteren TYPO3 Version, wahrscheinlich 3.X . Da es sich um eine veraltete Version handelt, sind hier viele Sicherheitslcken bekannt, durch die man das System kompromitieren kann. Da die Seitenbetreiber nicht auf die neuste Version geupdatet haben, konnten die Seiteninhalte von auen gendert werden. Wie man sieht sollte man als groe Sorgfalt auf ein aktuelles System setzen.

Nun kommen wir zu dem Nebeneffekt der veralteten Backlink Datenbank von Opensiteexplorer zurck. Dies war in unserem Fall hilfreich, denn wir haben viele Seiten gefunden, die anscheinend frher einen Backlink enthielten, jedoch jetzt keinen mehr beinhalten. Beispiele dafr wren: http://www.bdh-online.de/ http://www.lsb-berlin.net/ http://www.ardex.de/ Auch diese Seiten setzen auf das CMS TYPO3, jedoch mit dem Unterschied, dass sie eine aktuellere Version benutzen. Dies erkennat man auch an dem Header, jedoch diesmal nicht an dem Comment, sondern an einem Meta-Tag:
<meta name="generator" content="TYPO3 4.5 CMS">

Wie man sieht wurden diese Seiten auf die Version 4.5 geupdatet. Wahrscheinlich hat jemand gemerkt, dass die Seite kompromitiert wurde, oder man wollte einfach up-to-date sein. So wurde der Backlink entfernt und die Sicherheitslcke geschlossen. Also konnte der Angreifer den Linki nicht nochmal platzieren.

4. Nachwort
Diese Technik des Backlink Spamming ist ziemlich hinterhltig, da es nicht auf Anhieb sichtbar ist, dass das System kompromitiert wurde. Andererseits muss man sagen, dass die Idee sehr ausgeklgelt ist und weitreichende Kenntnisse in vielen Bereichen der Webprogrammierung erfordert. Anfnger knnen solch komplexe Angriffe nicht starten, also waren hier Profis am Werk. Weiterhin sollte Google die Backlinks als ungltig erkennen, da sie ja fr den Betrachter nicht ersichtlich sind und es offensichtlich ist, dass es sich hier um hidden Links handelt. Die Frage ist nun, wie lange bleibt die Seite auf der Top Position, denn solche Manahmen werden gerne begestraft.