Suche
Suche Menü

Content-Diebe unterwegs – Massenhaft Deutsche Blogs von Content-Klau betroffen (Klon-Blogs)

Screenshot 2014-08-18 13.12.52

gachcktSeit einigen Tagen geistert ein Phänomen durch das deutsche Internet. Massenhaft deutsche Reiseblogs, Lifestyleblogs und auch einige Foodblogs wurden geklont und finden sich und ihre Inhalte auf einer .com oder .net Domain wieder. Dabei wurden die Blogs jedoch nicht gehackt sondern gespiegelt. Bisher trifft es vornehmlich WordPress-Blogs, jedoch nicht nur die selbstgehosteten sondern auch die, die bei WordPress auf dem Server liegen.

Affiliate Betrug als Ursache?

Bei allen Blogs sind folgende Vorgehensweisen identisch:

  • Das Blog hat eine de-Domain und wurde komplett auf eine .com/.net-Domain gespiegelt
  • Im Impressum steht der Vorname des Betreibers, nicht aber die richtige Adresse. Diese ist gefälscht. Teilweise gibt es auch eine richtige Adresse, aber eine Falsche E-Mail oder Telefonnummer.
  • Unter derselben Adresse wurde bei godaddy.com  die .com Domain gesichert.
  • Sobald man einen Post hochlädt, ändert oder einen Kommentar freischaltet ist das Gleiche schon auf dem Klon erschienen.
  • In der Sidebar sind alle fremden Banner und Affiliate-Links verschwunden
  • Auch der FTP Server wird gespiegelt

Nach meinen Recherchen sind die Server der Blogs selbst nicht betroffen und auch die Datenbanken weisen keine Zugriffe von Außen auf. Sicherheitshalber sollten aber die Passwörter geändert werden.

Beim Timo Fach vom SEOhelfer habe ich einen guten Artikel gefunden, der mir weitergeholfen hat.

Denn vor einiger Zeit gab es schonmal so eine Welle und er hat einen guten Weg gefunden, die Diebe auszusperren. So wie es aussieht handelt es sich bei den betroffenen Blogs um Seiten mit gewisser Reichweite, die teilweise auch Affiliate Banner eingebunden haben. Nach der Vermutung von Timo Fach handelt es sich um Affiliate Betrug aus China im größeren Stil. Dabei werden die Webistes mithilfe einer illegalen Software gespiegelt und auf den anderen Server geladen.

Der Server merkt, wenn auf der Website etwas geändert wird und meldet es dann an den Klon-Server, der sich automatisch aktualisiert.

// edit: 15:32

„Das stimmt so übrigens nicht ganz. Die Inhalte werden nicht auf dem fremden Server gespeichert, sondern es wird einfach jeder Request „gespiegelt“. Wenn also jemand www.meinblog.com/xyz/ aufruft, ruft das Skript beim Faker im Hintergrund www.meinblog.de/xyz/ auf und liefert dann einfach das Ergebnis aus – ggfls werden halt noch Ersetzungen am Quellcode vorgenommen.“

Danke an Daniel

Zum einen hat es mich beruhigt, zum anderen auch Hilflos gemacht. Wie kann ich mich denn dann schützen?

Was kann ich tun?

Erstmal kucken ob ich betroffen bin. bei https://www.united-domains.de/ kann man sehen, welche Domains registriert wurden, dann muss man die Seite aufrufen, wenn man betroffen ist, sieht man das Unheil sofort. Screenshot 2014-08-18 13.12.52

Als Sofortmaßnahme habe ich erstmal den fremden Server mittels IP-Sperre ausgesperrt. Dies ist jedoch nur eine mittelfristige Lösung, die nicht mehr geht, wenn der Angreifer seine IP ändert.

Anleitung für die IP-Sperre

Grundsätzlich solltet ihr ab hier nur selbst dran gehen, wenn ihr schon mal etwas mit FTP zu tun hattet und vorher eine Datensicherung gemacht habt.

Eine Anleitung für das Arbeiten mit einem  FTP-Programm wie z.B. Filezilla findet ihr hier >>.

Auf eurem Server gibt es eine Datei, die nennt sich .htaccess Die hat wirklich keine Dateiendung und soll auch genauso heißen.

Wenn ihr die habt arbeitet ihr von Punkt 1-5 und dann von 8 bis Ende :-)

  1. Als erstes müsst ihr den Server des Diebes suchen. Dafür könnt ihr hier eine PHP-Datei bei mir herunterladen:

    nothilfe_htaccess.zip

  2. Diese packt ihr aus und nehmt zuerst die serverinfo.php Datei und lädt sie per FTP in euer Blogverzeichnis.

    Oder ihr erstellt eine php-Datei z.B. mit dem Namen serverinfo.php speichert sie ab und lädt sie hoch. Diese Codezeilen braucht ihr:

    
    <?php  echo "Remote Address: ", $_SERVER['REMOTE_ADDR']; // displays the remote ip address.
    
    ?>
    
    
  3. Dann ruft ihr auf: www.meinblog.de/serverinfo.php

    Ihr solltet jetzt nur eine Zeile sehen.

  4. DANN ändert ihr das .DE eurer Adresse in .com oder .net je nachdem wo euer Klon liegt.
  5. Ihr solltet dann soetwas sehen:

    Screenshot-2014-08-18-14.45

  6. Wenn ihr KEINE .htaccess auf dem Server habt, macht ihr hier weiter :

    Die Remote-Adresse  fügt ihr in das htaccess-Dokument ein und speichert es ab

  7. Dann lädt ihr die Datei auf den Server und benennt sie um. Dafür das .txt löschen und in .htaccess umbenennen. Fertig!
  8. Wenn ihr eine .htacces auf dem Server habt, geht in das Verzeichnis wo sie liegt. Bei WordPress-Blogs liegt sie aber im obersten Verzeichnis. Diese Datei ladet ihr euch herunter und öffnet sie in einem Text- oder HTML-Editor (NICHT Word, das ist keiner) sondern soetwas wie Textedit am Mac oder Notepad am PC.
  9. Dann fügt ihr diese zwei Zeilen am Ende der Datei ein, speichert sie ab und lädt sie wieder hoch wie oben angegeben.
    
    Deny from 178.162.204.193
    
    

    Natürlich mit den Nummern die ihr oben herausgefunden habt.

Damit sind die Diebe zumidest vorerst ausgesperrt.

 

Eine ganz tolle Lösung bekam ich heute morgen von Chris:

Eine noch effektivere Möglichkeit ist es, die index.php von WordPress leicht zu verändern, indem man direkt nach der ersten Zeile (die “< ?php“ lauten sollte) folgendes einfügt:

(Bei Änderungen an Theme-Dateien bitte die ANLEITUNG zum Bearbeiten per FTP beachten!)


if ($_SERVER['REMOTE_ADDR'] == '1.2.3.4') {

echo 'The content on this site is stolen. Der Inhalt dieser Seite ist gestohlen.';

echo 'Visit http://www.echterblog.de/ instead. Besuchen Sie stattdessen http://www.echterblog.de/ ';

exit();

}

1.2.3.4 ist natürlich die oben festgestellte REMOTE_ADDR.

 

 

Und dann?

Als zweites habe ich Beschwerde beim jeweiligen Dienstleister (in meinem Fall Cloudflare/ Godaddy) eingereicht und hoffe, das es etwas bringt.

Gleichzeitig versuchen viele betroffene Blogger gemeinsam auf dem rechtlichen Weg etwas zu erreichen.

Auch im Niedblog gibt es ein paar gute Lösungsansätze.

http://niedblog.de/blog-kopiert-name-geklaut/

Weitere Schritte und Vorgänge werde ich hier dokumentieren.

Ebenso gibt es hier eine Facebook-Gruppe in der sich Betroffene austauschen.

Ich bitte aber nur Betroffene Antrag auf Aufnahme stellen.

 

Author:

Ich bin Daniela Müller, Web-Designerin und Frontend-Entwicklerin aus Flensburg. Hier schreibe ich über Wordpress, HTML und CSS für alle, die noch ein paar Tricks und Kniffe übers Bloggen lernen möchten und vor allem für all jene, die sich bisher noch nicht an Wordpress ran getraut haben. In meiner Freizeit nähe, stricke, backe und koche ich und probiere Neues aus. Mein Kreativ-Code: www.cozy-and-cuddly.de

34 Kommentare Schreibe einen Kommentar

  1. Pingback: Content-Klau: Deutsche Blogs werden massenhaft kopiert

  2. Hm… ich hab jetzt schon drei Beiträge dazu gelesen. Überall wird mit dofollow united-domains verlinkt. Wie kommt das? Haben die etwa den Content-Nepp in Auftrag gegeben? Oder haben zufällig alle Betroffenen ihre Domains bei denen gehostet und kommen deshalb zuerst auf diese Adresse als Anlaufstelle?

  3. Shit. Ganz im Ernst…

    Wer so´was tut is´ sebst dran Schuld,

    wenn das System demnächst vor Trojanern nur so wimmelt.

    Grundsätzlich gilt:

    Datenklau aus China

    interessant wie Reissäcke in Weitweitweg.

    Datenbanken, auf die von außen nicht zugegriffen wird:

    Sinnvoll wie die Eier vom Papst.

    Nach dem .<(dot) steht eine Dateiendung.

    Das U in url steht für unified…

    & von mehreren identischen urls zu schreiben ist völliger Mumpitz.

    & Klammern die man schließt,

    sollte man auch aufgemacht haben (-:-)

    Leute tut Euch einen Gefallen:

    Falls Ihr Euch wirklich so wenig auskennt,

    dass Ihr dass nicht wisst, solltet Ihr auf gar keinem Fall irgendwelche ZIP Dateien herunterladen & mit deren Inhalt Eure Webserver modifizieren lassen…

    sonst: Autschi, bald & heftig.

  4. Moin Alexander,
    Also bei mir war es definitiv ein Versehen, ich hatte in der Eile nun auch keine Lust bei 10 Providern nach der schönsten grafischen Darstellung zu suchen.
    Ich wollte nur schnell helfen!
    Ich habe es geändert auf nofollow :-) Danke für die Anregung.
    viele Grüße
    Daniela

  5. Hallo Daniela,

    ja es war auch nur eine spontane Bemerkung, weil man ggü. dieser Firma in der Blogosphäre sehr… na ja… sagen wir mal… geeicht ist. Die sind zusammen mit einem Adblocker in negative Schlagzeilen geraten. Deswegen dachte ich an eine Imagekampagne. ^^

    LG

  6. Pingback: Betrug mit geklonten Blogs: Die besten Tipps gegen Betrüger

  7. Sehr geehrter Herr Muck!

    Ein freundliches Dankeschön für die nicht so ganz konstruktive Kritik, die wir eher als akuten Trollismus abgetan haben.

    Auch das ist uns hier in unserem Blogzuhause vorbehalten. Wir mögen ein freundliches Miteinander und Respekt.

    Anonymes gemecker ist immer schön einfach. Zeigen Sie doch Ihr Gesicht!

    Eine Menge Blogger ohne das nötige Hintergrundwissen hatte große Sorge dass deren Inhalte im Internet verstreut werden, viele sind uns gut bekannt und vertrauen auf unsere Arbeit.

    Demnach ist es uns ein Anliegen, denen zu helfen, die sich nicht selber helfen können. Alle anderen finden sich schon zurecht. Alle nicht betroffenen dürfen diesen Artikel freundlich überlesen.

    In diesem Sinne. Alles wird gut.

  8. Emm, die „Remote Address“ ist die Adresse des Rechners/Internetzugangs, mit der man die Seite gerade ansteuert. Wenn man die sperrt, sorgt man nur dafür, dass man selbst die Seite nicht mehr ansehen darf.

  9. Sorry, aber ist es nicht so dass die „Remote Address“ genau DAS richtige ist?

    Hab heute etwas recherchiert und so wie ich es verstehe nutzt der Dieb einen Proxy um Live den Content des Originals abzufragen:

    [Browser] — (request) –> [Klon] — (request)–> [Orginal] -|

    ^— (modifizierter response) — [Klon] <— (response) <—–|

    Das bedeutet die Ausgabe "SERVER_ADDR" auf deinem Blog gibt auf der Seite des Klon Blogs immer DEINE Server Addresse aus. Da der Klon aber Live deine Daten abfragt solltest du dort die „Remote Address“ ausgeben. Surfst du damit deinen Blog an, so siehst du deine Internet Adresse, also die deines Internet-Anschlusses. Surfst du den Klon und der Klon deine Adresse an, sieht man entsprechend seine.

    Bitte um Korrekturen falls ich mich doch irre :)

  10. Pingback: Content-Diebstahl - Wie kann ich mich am besten schützen?

  11. Moinmoin,

    gerade durch einen Presseartikel auf den Post hier gestoßen – eine m.E. noch effektivere Möglichkeit wäre es, die index.php von WordPress leicht zu verändern, indem man direkt nach der ersten Zeile (die „<?php" lauten sollte) folgendes einfügt:

    if ($_SERVER['REMOTE_ADDR'] == '1.2.3.4') {

    echo 'The content on this site is stolen. Der Inhalt dieser Seite ist gestohlen.';

    echo 'Visit http://www.echterblog.de/ instead. Besuchen Sie stattdessen http://www.echterblog.de/&#039;;

    exit();

    }

    1.2.3.4 ist natürlich die oben festgestellte REMOTE_ADDR.

    Da der "Blog" auf der Klau-Domain ja live die Daten vom jeweiligen echten Blog abruft und dann exakt diese Ausgabe bekommt (und, wie ich annehme, auch anzeigt), weiß der Besucher gleich Bescheid, was los ist. :-)

    LG,

    Chris

  12. Hier nochmal der korrigierte Code, weil die HTML-Konvertierung was gefressen hat:

    if ($_SERVER[‚REMOTE_ADDR‘] == ‚1.2.3.4‘) {

    echo ‚The content on this site is stolen. Der Inhalt dieser Seite ist gestohlen.‘;

    echo ‚Visit http://www.echterblog.de/ instead. Besuchen Sie stattdessen http://www.echterblog.de/ ‚;

    exit();

    }

    LG,

    Chris

  13. Grr, @Moderator, bitte nachbearbeiten :-) Es sind einfache Anführungszeichen ‚ im Code nötig, auch diese wurden leider beim Posten verändert :)

  14. Danke Dir für die tolle Anregung Chris,
    Ich übernehme das gleich noch mal in Plain-Text in den Artikel!

    LG Daniela

  15. Die Lösung von Chris scheint mir die aktuell beste zu sein. Bitte darauf achten dass bei der ‚Remote Address‘ (1.2.3.4) immer die IP Addresse des Klons stehen muss! Diese kann sich ändern! Also ab und an mal den Klon besuchen und notfalls die IP korrigieren.

    Ich bin gerade dabei eine Datenbank mit entsprechender Web-Anwendung aufzusetzen um die Klone mit entsprechenden Originalen zu verwalten. Ziel ist es die Domains zu den IPs zuordnen zu können, damit kann jeder Blog die ‚Remote Address‘ live verifizieren.

    Ein Browser Plugin soll im nachhinein folgen. Damit sollen Nutzer den Klon melden können oder gewarnt werden wenn es sich um ein Klon handelt.

    Für Ideen einfach melden. Hoffe bis zum Anfang nächste Woche was Online zu haben.

    Schöne Grüße

    Viktor

  16. Lieber Viktor,

    Das ist schick und würde uns allen sicher helfen!

    Wenn Du soweit bist, dann melde Dich gerne, Ich schreib dann auch gern nochmal drüber, damit wir möglichst viele Betroffene zusammenkriegen!

    Ich finde den Zusammenhalt und die gegenseitige Hilfsbereitschaft der Blogger untereinander wirklich toll!!

    LG Daniela

  17. Habe gerade mal ein wenig programmiert und Daniela per Mail einen Link zu vorbereiteten Code geschickt, der meinen Vorschlag ein wenig vereinfacht. Readme ist dabei. Fertig vorbereitete index.php für die aktuelle WordPress-Version ist dabei, kann aber auch mit beliebiger anderer PHP-Software genutzt werden (siehe Readme). Denke, Daniela wird’s sicherlich gleich verlinken. Der Code ist lizenzfrei und darf gern beliebig verbreitet, verlinkt und verändert werden!

    LG,

    Chris

  18. Achso, @Viktor: Habe Dir eben eine Mail geschickt (an die Adresse aus dem Domainwhois, andere habe ich nicht gefunden) – ggf. könnten wir das Ganze sogar noch mit Live-Abfrage an Deine Datenbank koppeln. Ich hoste das Ganze ggf. auch gern, bei Bedarf einfach auf meine Mail antworten. :-)

  19. Hi

    wechselnde IP-Adresse ist doch auch kein Problem.

    $_SERVER[‚REMOTE_ADDR‘] != ‚1.2.3.4‘

    alles was NICHT 1.2.3.4 als Server-IP hat, wird hier angesprochen. Eigene IP vom Server rein und gut ist – man könnte einen redirect dann zur eigenen Seite reinbasteln. Fremde Seite aufrufen -> diese Fremde Seite klaut von der eigentlichen Seite die entsprechend „geschützt“ ist – das Script erkennt: falsche IP -> und leitet den Besucher auf die richtige Homepage (nicht IP) um. Ungetestet!

    Ansonsten mal Hotlinking/Traffiklau schauen. Die .htacess-Zeilen werden zwar zum „Schutz“ für Bilder genutzt, kann aber problemlos erweitert werden auf ALLES.

  20. Korrektur:

    der Abschnitt: „REMOTE_ADDRESS gleich deiner Server Adresse ist“

    sollte „REMOTE_ADDRESS UNGLEICH deiner Server Adresse ist“ lauten!

    Sorry!

    #schäääm

  21. Hallo Daniela, danke für diese tolle Antwort und die hilfreichen Informationen. Ein sehr guter Beitrag. Der Blog gefällt mir auch wunderbar.

  22. @Patrick, das funktioniert leider nicht. REMOTE_ADDR ist die IP-Adresse von demjenigen, der die Seite gerade besucht. Im Fall von den Klau-Blogs ist es die IP von dem Server, wo der geklaute Blog drauf gehosted ist, die kann man somit explizit blocken. Setzt Du da != Deine Server-IP rein, wird _jeder_ Aufruf blockiert, weil Dein Server Deine Webseite gewöhnlich selten besucht. :-)

  23. Hallo zusammen,

    ich habe diesen Beitrag nicht gerne gelesen, da ich der Meinung bin selbst als Admin einer Blogseite mit dem „Spiegeln“ der o.g. Seite betroffen zu sein. Natürlich habe ich wie oben ausführlich beschrieben versucht temporär die IP-Adressen per .htaccess zu sperren. Doch leider ohne Erfolg. Beim Aufruf der serverinfo.php wird mir bei jeder Domain die gleichen/selben IP-Adressen angezeigt. (?)

    Gespiegelt wird der Blog von gleich zwei Domains – die namentlich mal so gar nichts mit unserem zu tun haben. Ein Ping auf die Domains ergibt erschreckender Weise die IP-Adresse des Blogs – alle haben die selbe IP.

    Ich würde mich gerne schützen, denn es hat schon extreme Auswirkungen im Ranking bzgl. Duplicate Content.

    Über evtl. weitere Erfahrungen zu dem Thema – auch Lösungsansätze – wäre ich sehr dankbar.

    Grüße, Jan

  24. Pingback: Diebstahl 2.0, Blogklau - Mein Blog wurde geklaut & geklont!

  25. Pingback: Blogging Links und Tipps | Girls Guide To Blogging

  26. Pingback: Content-Diebstahl: Deutsche Blogs weiterhin massenhaft kopiert | Projecter GmbH

  27. Pingback: Content-Diebstahl – 8 Maßnahmen für betroffene Blogs | Projecter GmbH

  28. Pingback: Keine Macht den Klonen! – Webseiten und Blogs werden kopiert, geklont, geklaut, gespiegelt … | TopFree.de

  29. Vielen Dank für den informativen Artikel und für die Tipps / Anleitungen. Ich nutze mitterweile auch die Plugins „AntiClone“ zum einfachen sperren ganzer IP-Blöcke.

    LG Martina

  30. Pingback: Mein Blog hat einen Klon. Was tun? Lösungen!

  31. Hallo Daniela,

    vielen Dank für deine ausführliche und verständliche Anleitung !
    Nachdem wir nun auch betroffen waren, haben wir es dank dieser Anleitung geschafft, den Clone auszusperren !

    Danke !!

    Liebe Grüße
    Bibo & Tanja

  32. Danke für die ausführliche Anleitung.
    Heute habe ich mich mal ran gemacht, meinen Klon zu verscheuchen. Leider benutzt der Content-Dieb die selbe Server Adresse, sodass ich diese nicht ausschließen kann. Dann komme ich nämlich selbst nicht mehr auf meine Seite.

    Den PHP-Code habe ich in die index.php in meinem WordPress-Ordner eingefügt und entsprechend abgeändert. Zunächst hatte das auch funktioniert. Ich machte bereits Freudensprünge.

    Es hat aber keine halbe Stunde gedauert, da funktionierte es nicht mehr, obwohl ich am Code nichts geändert habe.

    Mein Mann hatte bereits überlegt, den Code so abzuändern könnte, dass die Abfrage lautet:

    if ($_SERVER[‚REMOTE_ADDR‘] not equal ‚eigene Remote Adress‘) {

    Leider kann ich kein PHP und weiß nicht, wie der Code lauten müsste.

    Es würde nur alles nicht nützen, wenn der Content-Dieb das dann auch wieder entfernet.

    Anscheinend kopiert der Typ den gesamten Frame. Kann es sein, dass auch die index.php gespiegelt wird? Das wäre ja fatal!

    Langsam bin ich ziemlich frustriert.

    Viele Grüße Sabine

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.


Abonniere unseren Newsletter!