IP Security Forum

Author Topic: Spam-Domäne gehackt und zu uns umgeleitet?  (Read 7260 times)

Offline Martin

  • Administrator
  • Full Member
  • *****
  • Posts: 58
  • Karma: 0
    • http://geotek.de/
Spam-Domäne gehackt und zu uns umgeleitet?
« on: Monday, 20.12.2004 09:14 »
Soeben habe ich entdeckt, dass die Website des Providers ORCA Offshore Services
http://ip-check.net/
auf unsere englische Schwester-Site
http://ipinfo.info/
umgeleitet wurde!!!

Der Hacker hat seine Duftmarke <!-- m --> hinterlassen, und den Seitentitel mit "You Need Our Privacy Service!!!" versehen. Ohne den Frame antwortet die Website mit "THIS PAGE HAS BEEN RE-DIRECTED FOR ABUSE / SPAM VIOLATIONS"

Sofern da nicht rechtliche Probleme oder Gegenangriffe auf uns zukommen, ist das für uns eigentlich ganz erheiternd, bringt Traffic und Aufmerksamkeit.

Aus Sicht eines Webmasters, der befürchten muss, eines Tages alle Besucher zur Konkurrenz umgeleitet zu sehen, dürfte das weniger lustig sein...

Offline Martin

  • Administrator
  • Full Member
  • *****
  • Posts: 58
  • Karma: 0
    • http://geotek.de/
Spam-Domäne gehackt und zu uns umgeleitet?
« Reply #1 on: Wednesday, 12.01.2005 18:00 »
Nachdem ich den Webmaster per email davon informiert habe, war der Inhalt binnen 4 Stunden wieder ersetzt. Das war von allem deshalb nötig, um nicht in den Verdacht zu geraten, wir hätten das zur Eigenwerbung selbst veranstaltet, was nach dem Rat eines befreundeten Webmasters im angelsächsischen Raum zu möglichen Schadensersatzklagen hätte führen können.

Eine Google-Suche zeigt ganz anschaulich, dass unser Hacker auch auf zahlreichen anderen Sites aktiv war, ihm aber offenbar noch niemand auf die Schliche kam!

Offline Martin

  • Administrator
  • Full Member
  • *****
  • Posts: 58
  • Karma: 0
    • http://geotek.de/
Spam-Domäne gehackt und zu uns umgeleitet?
« Reply #2 on: Wednesday, 02.02.2005 08:21 »
Schon wieder wird ip-check.net auf unsere ipinfo.info site umgeleitet, diesmal ohne den Titel zu verändern oder sonstige Beigaben. Mein Urteil einer gehackten Site war vermutlich etwas voreilig, denn es sieht jetzt so aus, als wäre das web hijacking nur vorgetäuscht worden. Der Webserver ist offensichtlich speziell zum Zwecke von Weiterleitungen präpariert worden. Er hat ausser dem speziellen Redirect Modul mod_pointer nichts geladen, wie man der HTTP-Antwort entnehmen kann:

Quote
HTTP/1.1 200 OK
Date: Tue, 01 Feb 2005 22:24:10 GMT
Server: Apache/1.3.31 (Unix) mod_pointer/0.8 PHP/4.3.2
X-Powered-By: PHP/4.3.2
Connection: close
Content-Type: text/html


Registriert ist ip-check.net durch die bisher unauffällige Firma:

   SECURE DATA DOMAINS
   Unit 91
   125 Oxford Street
   Bondi Junction, New South Wales 2022
   Australia

über den Registrar ORCA Offshore Internet Services. (was wohl ein und die selben Leute sind), und den weithin als spam-freundlich bekannten Network Provider:

  Go Daddy Software, Inc.
   GDS-31
   14455 N Hayden Road
   Suite 226
   Scottsdale, AZ 85260
   US


Diesmal wird die Weiterleitung mit einem 303 FOUND Staus code durchgeführt, der eigentlich bedeutet, dass die Website temporär unter einer anderen URI erreichbar ist.

Nicht nur die Homepage, sondern auch jede Unterseite von ipinfo.info ist jetzt über ip-check.net ebenfalls erreichbar. Normalerweise machen so etwas skrupellose Webmaster, um ihre domain mit fremdem Content zu füllen und gleichzeitig die andere Site aus den Suchmaschinen-Rankings zu verdrängen. Merkwürdig nur, dass deren Domain ibei Google noch praktisch keine Rolle spielt, aber vielleicht kommt das noch. Möglich auch, dass dies ein Versuch ist, uns den Aufkauf der Domain aufzunötigen, aber das ist alles Spekulation. Ich werde sie erst mal abmahnen.

Offline Martin

  • Administrator
  • Full Member
  • *****
  • Posts: 58
  • Karma: 0
    • http://geotek.de/
Spam-Domäne gehackt und zu uns umgeleitet?
« Reply #3 on: Wednesday, 02.02.2005 17:54 »
Nach meinem abuse-complaint wurde die Umleitung nach wenigen Stunden wieder abgeschaltet, darauhin erscheint jetzt unter ip-check.net die Domain-Name-Werbeseite von ORCA Offshore Services.

So weit, so gut. Die Antwort des Webmasters ist aber lesenswert; sinngemäß sagt er, wir sollen doch über den redirect zufrieden sein, er könne ja auch gleich die ganze Website kopieren!

Quote
Presumably rather than our clients being directed to your site it is
better we copy the site and offer the same services. Thought you would
appreciate the extra traffic.


Ob es beabsichtigt war, dass als Email Absender der Name "Secure Data GmbH" erscheint? Wahrscheinlich sitzt der Mensch doch in Deutschland, und der ganze andere Zinnober mit Australien dient nur zur (schlechten) Tarnung.

Trotzdem bleibt mir ein Rätsel, was damit bezweckt werden soll.