Website Boosting 2.0 - Weblog

Unschuldig aus dem Suchmaschinen-Index geflogen?

"Mitbewerber haben praktisch keine Möglichkeit, Ihr Ranking negativ zu beeinflussen oder Ihre Website aus dem Index zu entfernen." sagt Google hier in den eigenen Richtlinien.
(http://www.google.com/support/webmasters/bin/answer.py?answer=34449&topic=8524)

"praktisch keine" ist natürlich was anderes als "keine"...

... und da in letzter Zeit immer wieder von bösen Techniken zu hören ist, die potentiell Seiten aus dem Index kicken können, schauen wir uns das mal näher an:

Mit sauberer Optimierungsarbeit wird man besser gelistet als die Mitbewerber. Der Nachteil ist, dass das Mühe und Schweiß kostet. Die andere Möglichkeit ist, einfach die ungewollten Websites bei Suchmaschinen anzuschwärzen, damit diese wiederum diese Seiten aus ihrem Index verbannen.

Hä? Denken Sie nun sicher völlig zu Recht. Wie kann jemand anders meine sauberen, jugend- und fettfreien Webseiten bei Google anschwärzen? Es kann doch nicht sein, dass man ein Leben lang liebevoll Content ins Web stellt und nun so hinterhältig bestraft wird? Hmmm... Doch das geht.

Cross Site Scripting (XSS) heißt die Zaubertechnik, mit dem üble Zeitgenossen (vulgo: Black Hat SEO) sich aufmachen, lästige Mitbewerber -sprich lästige Ergebnisse in Suchmaschinen-Trefferlisten- aus dem Index zu drücken.

Haben Sie klassische html-Seiten? Keinen sog. dynamischen Webauftritt via CMS oder ein Shopsystem? Dann wischen Sie sich den Schweiß wieder ab - Sie sind an dieser Stelle sicher. Und Sie brauchen eigentlich auch nicht weiter zu lesen.

Allen anderen möchte ich die Technik hinter XSS schmerzlos erklären. Sie kennen ja sicher die Grzlpfrpft-Zeichen in der Adresszeile des Browsers bei einigen Webseiten (auch Ihren?). Will man z. B. bei Otto einkaufen, sieht diese Zeile (URL) schon mal gerne so aus:

http://www.otto.de/is-bin/INTERSHOP.enfinity/WFS/Otto-OttoDe-Site/de_DE/-/
EUR/OV_DisplayProductInformation-CMSShopID;sid=GjO9VbCOAB3GVfVKaE-jl-Xe
UAN2N8FS0ttElxhS_kY7deKRv30WOb1WroE0uQ==?ls=0&ArticleNo=227793&
ShopID=sh2796201sp2956741&CategoryName=sh1458583&SpecialShopName=
sh2796201#lmPromo=la,1,hk,home,fl,hp_vf

Sie sehen darin allerlei Fragezeichen (wie treffend ;-)) und Attribute wie z. B. "ArticleNo=227793". Mit diesen Items wird der Seitenaufbau vom Webserver aus gesteuert. Die eigentlichen Inhaltsteile kommen dann aus einer Datenbank. Wenn der Webserver eine solche Adresse als Anfrage bekommt, versucht er sie zu interpretieren und baut wie gesagt die Seite entsprechend zusammen. Das geht so schnell, dass Sie das gar nicht merken. Meist. Da solche Links ja in der Regel von den Besuchern auf den Webseiten angeklickt werden, kommen Sie mit den Adresszeilen-Monstern gar nicht direkt in Berührung. Da die einzelnen Teile in der Adresszeile ja praktisch Anweisungen an den Webserver enthalten, lassen sie sich ggf. auch manipulieren. Vor allem Seiten, die php-Skripte nutzen, sind anfällig, wenn nicht alles sauber konfiguriert ist.

Machen wir das jetzt mal - keine Sorge, das hier ist erlaubt!
Suchen wir in Google nach ´Mario Fischer´. Dann erscheint das Suchergebnis und die Adresszeile sieht in etwa so aus:

http://www.google.de/search?hl=de&q=Mario+Fischer&btnG=Google-Suche&meta=

Nun werden wir zum URL-Hacker und tauschen direkt in der Adresszeile das Wort >Mario< gegen >Prof< aus (natürlich ohne die spitzen Klammern. Dann Schuss (also die Return-Taste drücken). Sie sehen, es baut sich ein neues Suchergebnis auf und im Suchschlitz steht nun >Prof Fischer<. Durch Manipulation in den Steuerelementen der Adresszeile haben Sie einen der Googleserver veranlasst, Ihnen eine entsprechend zusammengebaute Seite zu liefern.

Sie können auch diese Zeile hier direkt eingeben (oder kopieren):

http://www.google.de/search?q=Prof+Fischer&hl=de&safe=on&start=110&sa=N

Dann startet das Suchergebnis erst bei Position 110. Tauschen Sie die Zahl (110) oben gegen jede beliebige andere aus, beginnt das Ergebnis dort. Und wenn Sie den Parameter >safe=on< in >safe=off< ändern, bekommen Sie auch nicht jugendfreie Inhalte zu sehen. Sofern sich bei diesem langweiligen Suchwort welche finden lassen... Ich hoffe, das Prinzip ist damit so weit deutlich geworden. Daher können wir nun einen Schritt tiefer gehen.

Prinzipiell kann also Webservern, die solche Anweisungen akzeptieren, auch anderer als der vorgesehene Code (z. B. safe=on) untergeschoben werden. Ist er wirklich sauber konfiguriert und prüft jeden Code-Schnippsel genau, ist das praktisch ausgeschlossen (ich verwende mal hier die gleiche Formulierung wie Google ;-). Gehen schadhafte Codeanweisungen "durch", haben Sie ein Problem. Ein Angreifer kann nun möglicherweise Skripten auf Ihrem Server anstoßen und sich somit Zugang zum Server verschaffen. Punkt. Teil 2: Nun baut er auf Ihren Seiten oder auf dem Webserver z. B. eine kleine Skriptweiche ein, die ganz offen Spidern von Suchmaschinen einen andere Seite zeigt, als dem menschlichen Besucher, der mit einem Browser daher kommt. Sie ahnen schon, was nun passiert? Rrrrichtig. Sie selber und Ihre Kunden merken davon beim Aufrufen der Seiten gar nix. Kommt Google und meldet sich anständig mit "Isch bin der Gurgel-Bot", bekommt er oder sie (sind Robots weiblich?) einen anderen Inhalt. Das kann was sein, was mit Ihren Produkten nichts zu tun hat (damit werden Sie nicht mehr einschlägig gefunden). Das kann Schlüpfriges sein, das normalerweise weggefiltert wird (safe=on) - oder es kann eine bewusst überoptimierte Seite mit z. B. viel zu hoher Keyword-Dichte sein, die sich in den Spamfiltern verfängt.

Noch schlimmer: Die sog. Cloaking-Detektoren von Google erwischen Ihre Site, dass sie Suchmaschinen und Besuchern unterschiedliche Seiten zeigt! Aus die Maus. Blöd? Ja. Gemein? Ja. Verachtenswert? Ja. Nutzt aber nix, darüber zu jammern. Die Web-Welt da draußen kann verdammt schlecht sein. Schließlich geht es um Geld.

Wie können Sie sich schützen oder prüfen, ob alle ok ist?

1. Der trivialste Schutz wäre, nur html-Seiten zu verwenden und alle interaktiven Dinge (wie z. B. Formulare) strikt zu verbannen. Jaja - Ich weiß selber, dass das nicht praktikabel ist.

2. Den Webserver wirklich sauber konfigurieren. Das muss ein Profi machen und nicht der Abiturient, der ansonsten Ihre Webseiten betreut. Aber bitte fragen Sie nicht mich, ich kenn mich mit solchen Sicherheitsfeatures auch nur bedingt aus. Gott-sei-dank.

3. Prüfen, ob die eigenen Webseiten infiziert wurden. Das geht gar nicht so schwer. Sie können Ihre Website einfach mal "mit den Augen von Google" sehen. Gehen Sie zu Googles Sprachtools auf:

http://www.google.com/language_tools

Dort geben Sie unten im Block "Übersetzen" die Adresse Ihrer Website (oder einer Einzelseite ein). Stellen Sie dann "Deutsch nach Englisch" ein, falls das Ihrem Sprachschema entspricht. Sie sehen nun Ihre Site übersetzt. Entspricht der englische Text in etwa dem Deutschen? OK... "in etwa" und lachen Sie nicht über die Feinheiten der Übersetzung - das macht schließlich eine Maschine. Sie können nun in Ihrem Auftritt "surfen" und alles wird in Echtzeit übersetzt. Steht irgendwo spammiger Text drin, den Sie nicht selber rein geschrieben haben - dann haben Sie ein Problem (siehe weiter unten).

Wenn Sie auf den nachfolgenden Link klicken, sehen Sie z. B. diese Website ins Englische übersetzt: Guckst Du hier.

4. Sie verwenden Firefox und installieren ein kleines Tool, mit dem Sie einen Suchmaschinen-Robot simulieren können. Das Tool heißt "User Agent Switcher" und Sie bekommen es als Firefox-Erweiterung unter

https://addons.mozilla.org/firefox/59/

Rufen Sie die Erweiterung auf und legen Sie mit dem Button "Add" einen neuen User Agent an. Nennen Sie ihn z. B. Google (Description) und tragen Sie in der Zeile darunter (User Agent) ein:

Googlebot/2.1 (+http://www.googlebot.com/bot.html)

Den Rest können Sie frei lassen. Ab und zu meldet sich der Googlebot auch mit einer anderen Kennung. Die können daher noch einen weiteren Eintrag (z. B. mit Google2) machen und in die Zeile Description

Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)

eintragen.

Entweder haben Sie jetzt in der Buttonleiste von Firefox eine Button "User Agent" oder Sie finden ihn unter /Extras /User Agent Switcher. Dort können Sie nun auf den Google-Eintrag umstellen und Ihr Browser meldet sich bei angesurften Webseiten nicht mehr als Firefox, sondern als Googlebot.

Rufen Sie nun Ihre eigenen Seiten auf. Wenn Sie nun andere Inhalte als die erwarteten sehen... Dann sind Sie möglicherweise Opfer eines solchen XSS-Angriffs geworden. In diesem Fall sollten Sie schnell reagieren, Ihren Webmaster informieren und sich von einem Spezialisten helfen lassen. Ggf. kann es auch Sinn machen, die entsprechenden Webseiten zunächst vom Netz zu nehmen. Outch! Ich weiß.

100% sicher sind all diese Tests nicht. Es kommt darauf an, wie clever die Hacker gearbeitet haben. Die speziellen Abfragen können natürlich auch wieder vorab abgefangen und "neutralisiert" werden. Damit will ich Sie nicht entmutigen oder erschrecken. Noch sind solche XSS-Angriffe eher die Ausnahme - und richtig gut gemachte findet man noch seltener.

Aber man muss wissen, woran man ist. Und man muss verstehen können, was da möglicherweise vorgeht. Ich hoffe, dass es mir gelungen ist, ein wenig Licht unter Ihren Webserver zu bringen ;-)

Stichworte: Sicherheit