Wieso Du auf Updates und Backups nicht verzichten solltest. WordPress gehackt, SEO Spam und …

Heute schreibe ich seit langer Zeit mal wieder hier im Blog. Auch wenn das Theme seit dem letzten Update noch nicht mal ansatzweise fertig ist… egal … was mir heute über den Weg gelaufen ist, muss ich hier einfach mit Euch teilen. Also los geht es mit der Geschichte: „Wieso Du auf Updates und Backups nicht verzichten solltest“ Eine Saga über gehackte WordPress, SEO Spam und richtig mieses Router Phishing.

Dass böse Hacker ungeschützte Webseiten und veraltete Content-Management-Systeme gerne für diverse Zwecke missbrauchen, sollte mittlerweile jedem bekannt sein. Den Payload, der mir heute über den Weg gelaufen ist, war so perfide SEO-relevant, dass ich ihn hier mit Euch teilen möchte.

Was ist passiert?

Von einem Bekannten wurde mir gemeldet, dass man neuerdings auch auf Security-Blacklisten wegen Black Hat SEO, bzw. SEO Spam landen könne. Da ich es nicht so recht glauben wollte, schließlich wurde SEO Spam bislang „nur“ zum Bescheißen von Google und Monetarisieren der Rankings eingesetzt und mir erschloss sich nicht, wieso man dadurch zu einem sicherheitsrelevanten Problem wird. Die ausgenutzten Schwachstellen sind häufig ja bekannt und die Seiten einfach nicht gepatched…

Doch, siehe da, es gibt tatsächlich bei SUCURI einen Malware-Eintrag für spam-seo.hidden_content?!

Auf sucuri geblacklisted wegen Black Hat SEO?
Auf sucuri geblacklisted wegen Black Hat SEO?

In der Beschreibung steht was von versteckten Spam-Links und Black Hat SEO, aber immer noch nichts, was aus meiner Sicht einen Eintrag als Malware rechtfertigt.

Mein Interesse war aber geweckt und so schaute ich mir den Payload der Seite mal etwas genauer an. Das erste auf das ich stoß war der folgende Code-Schnipsel:

Versteckter Backlink im Kopf der Seite
Versteckter Backlink im Kopf der Seite

Also ein mittels display:none versteckter Link im <head> der Seite – so gut – so normal (bei Crap Hats). Wie man im Artikel bei sucuri nachlesen kann, gibt es natürlich noch wesentlich ausgefeiltere Methoden den Link zu verstecken.

Übrigens zieht der Link im <head>, denn wie wir auf der SMX 2018 in München erst kürzlich von John Müller erfahren durften, beendet ein HTML-Element wie <a> den Kopfbereich der Seite! Also sorgt jedes <img>, <p>, etc. das eigentlich in den <body> der Seite gehört, im <head> dazu, dass dieser für den GoogleBot an dieser Stelle endet und alle nachfolgenden Anweisungen intepretiert werden, als befänden diese sich im <body>.

Kleiner Ausflug: Das führt zum Beispiel auch dazu, dass ein Canonical-Link oder HREFLANG-Tag im Head ignoriert wird, wenn ein eingebundenes Script im <head> davor versehentlich ein Element ausgibt, beispielsweise ein Tracking-Pixel als IMG!

Aber zurück zum Thema Black Hat SEO! Also weiter im Code geschaut … und … siehe da:

Jetzt wirds böse, wer sieht gleich wieso?
Jetzt wirds böse, wer sieht gleich wieso?

Das ist mal richtig mies. Also ich meine jetzt nicht diesen pseudo Text und den weiteren Spamlinks, der einfach „nur“ irgendeine Drecksseite zum ranken bringen soll, sondern den Link direkt darunter, kurz vor Ende des </body>:

<p hidden><a id="████" href="https://192-168-o-1.███/">192.168.0.1 login</a></p></body>

Da fiel es mir wie Schuppen von den Augen! Wisst ihr, wieso die Seite durch diese Payload nun sicherheitsrelevant wurde? Damian weiß es bestimmt, aber könnt ihr es euch erklären?

Auflösung in den Kommentaren

  • Kai

    Inhaber

    Kai Spriestersbach ist Bachelor of Science in E-Commerce und gehört mit mehr als 14 Jahren Online Marketing Erfahrung zu den erfahrensten Suchmaschinen-Marketern in Deutschland. Er hat sich als Online Strategy Consultant und strategischer Partner der eology GmbH und Inhaber von SEARCH ONE auf die strategische SEO-Beratung und Seminare zum Thema SEO und Suchmaschinen-Technologie und -Marketing spezialisiert. Er begleitet ausgewählte Großkunden bei der Entwicklung und Umsetzung ganzheitlicher Search Strategien und legt dabei einen besonderen Schwerpunkt auf Nachhaltigkeit und den Know-How Transfer in Form von Seminaren, Workshops und Schulungen. Bei Bedarf übernimmt er als Interim Manager alle Aufgaben eines des Search Marketing Leiters oder begleitet Unternehmen dabei eigene Inhouse Teams aufzubauen und auszubilden. Daneben unterstützt und berät Kai Spriestersbach Startups in Web-Technologie- und Online-Marketing-Fragen, ist als Affiliate Publisher tätig und entwickelt innovative SEO- und Analyse-Tools.

  • Show Comments (2)

2
Hinterlasse einen Kommentar

avatar
2 Kommentar Themen
0 Themen Antworten
0 Follower
 
Kommentar, auf das am meisten reagiert wurde
Beliebtestes Kommentar Thema
2 Kommentatoren
Phillip GroschupKai Letzte Kommentartoren
  Abonnieren  
Benachrichtige mich bei
Phillip Groschup
Gast
Phillip Groschup

also ich fand’s spannend. Hab mir aber auch schon gedacht, dass da jemand irgendwelche Router-Betrügereien machen will.
Ist ja nicht gerade eine unbekannte IP.

Fies …

Schöne Grüße Kai

Diese Webseite benötigt Cookies, um optimal zu funktionieren. Bitte stimmen Sie der Verwendung zu, in dem Sie auf 'Akzeptieren' klicken.