Ein Sumpf von Web-Site-Klonen: Ihre Homepage ist vielleicht auch betroffen!

(2.10.207, letztes umfangreicheres Update: 8.10.2017) In letzter Zeit wurden offensichtlich zahlreiche Klone bekannter Web-Sites eingerichtet, die sich unweigerlich auch im Google-Index breitgemacht haben - betroffen sind und waren u.a. die Deutsche Bundesstiftung Umwelt (DBU) sowie DETAIL, DBZ Deutsche BauZeitschrift (DBZ) und diverse andere führende Baufachtitel, auch mindestens drei Architektenkammern, die Hochschule für Technik Stuttgart, Caparol sowie u.a. auch OBI und Neckermann. Diese kleine Auswahl ließe sich seitenweise fortführen ...

Alle Screenshots wurden von baulinks/AO am 2. Oktober 2017 erstellt.

ilenaa.ga - damit fing's (für uns) an

Uns selber hat es im April 2017 getroffen: Schätzungsweise 14 Tage lang waren alle baulinks.de-Inhalte (über 40.000 Seiten) ohne Wenn und Aber unter der Domain ilenaa.ga online und über Google auffindbar - mit Auswirkungen bis in den Oktober 2017.

Phase Eins: Content abzapfen, ergänzen und umbauen

Nach unserer Beobachtung holen sich in einer ersten Phase die ga-, gq-, cf- oder tk-Klone die Inhalte on-the-fly direkt von der Opfer-Seite, und cachen / speichern sie von Fall zu Fall auch auf ihrem eigenen Server - wie beispielsweise bei gokagrtstadion.ga alias allgemeinebauzeitung.de: Der Screenshot vom 2. Oktober 2017 zeigt den Content vom 11. Juli - vermutlich Tag 1 des Klons:

Der Klon übernimmt den Content aber nicht 1:1: Auf dem Weg zum Client / Browser wird der Original-Inhalt ergänzt um Phrasen wie „free south korea dating site“, „Christ sucht Partner“, „Frauen suchen junge Männer“,... In dieser Phase wird die Nomenklatur der Original-Site umfangreich vereinnahmt - so wird/wurde beispielsweise aus ...

• baulinks.de/bau/mauerwerk.php die Klon-Seite ...
• ilenaa.ga/bau/mauerwerk.php.

Auswirkungen in den Google-Suchergebnissen

Die besondere Heimtücke der geklonten Seiten besteht darin, dass sie innerhalb kurzer Zeit in den Google-Suchergebnissen vor den Original-Seiten auftauchen können - und diese gerne auch mal gänzlich aus den Suchergebnissen verdrängen; so hat im folgenden Beispiel der Klon (unecafre.gq) gegenüber dem Original (ikz.de) den Vorzug erhalten:

Wir vermuten, dass die geklonten Seiten mit den - wenn auch sinnfremden - Textergänzungen aus Google-Sicht aktueller wirken und deshalb in den Sucherergebnissen bevorzugt werden. Zumindest vorrübergehend führt das dazu, dass die Reputation und damit das Ranking der Original-Site im Google-Index leidet.

Phase Zwei: Das Rotlicht wird eingeschaltet

Wenn sich die geklonten Seiten im Suchmaschinen-Index von Google etabliert haben, wird offensichtlich eine zweite Phase initiiert. Jetzt werden beim Aufruf der geklonten Seiten nicht mehr die veränderten Inhalte angezeigt - sondern pornografischer Content mit Überschriften wie „dirtytinder“ und „Sex Badoo“ (wohl in Anlehnung an die erfolgreichen Flirt- und Datingdienste tinder und badoo; Screenshots liegen uns vor). Dabei kann von Bedeutung sein, ...

• ob die jeweiligen Seiten via Google-Suchergebnis, über einen anderen Link oder über die Adresszeile des Browsers aufgerufen werden (Stichwort: HTTP-referer), und/oder
• mit welcher Nutzerkennung gesurft wird (Stichwort: User-Agent).

An die ursprüngliche Web-Site erinnert in dieser Phase kaum noch mehr als die URL-Nomenklatur - bis sich der Klon auch davon trennt. Trotzdem: Wenn die Original-Web-Site gerne mit „sprechenden“ URLs gearbeitet hat, stehen weiterhin auch höchstseriöse Organisationen und Firmen mitten im Rotlicht-Viertel des Internets ...

• angefangen bei ilenaa.ga/firmen/bankenverband
• bis ilenaa.ga/firmen/schueco.

Aus einem Rinnsal wurde ein Sumpf

Aufmerksam wurden wir auf „unseren“ Klon, weil wir regelmäßig nach baulinks.de-typischen Phrasen googeln. (Die Gründe dafür sind ein ganz eigenes Thema.) Bis August gingen wir davon aus, dass es sich bei ilenaa.ga um einen Einzelfall handelt. Dann aber stießen wir im Verlauf des Septembers bei der Suche nach einigen konkreten Zitaten von Bauverbands-Repräsentanten auf einzelne weitere Klone.

Unser Blick auf diesen Sumpf erweiterte sich dann schlagartig, als wir den Spieß umdrehten und z.B. nach „"Frauen suchen junge Männer" Energieeinsparverordnung“ oder „"Gratis single kontakte" Mietpreisbremse“ googelten: Bei jeder(!) Google-Suche dieser Art ließen sich Ende September / Anfang Oktober auf den ersten Ergebnis-Seiten Klone im zweistelligen Bereich finden; siehe auch Ergebnis von gut 30 Minuten Recherche - wobei auch das nur eine Auswahl von für uns interessanten Sites ist. Auffällig ist in diesem Fällen, dass die Opfer ...

• eine .de-Top-Level-Domain verwenden und
• über vergleichsweise viele Unterseiten verfügen - insofern könnten übliche Online-Präsenzen von z.B. Architekturbüros und Handwerksbetrieben verschont bleiben bzw. verschont geblieben sein.

Was kann man tun?

Präventiv schützen kann man sich vor Klonen dieser Art wohl eher nicht - das vermuten wir auch angesichts von Klonen wie ...

• gtconupe.tk alias gi.de (Gesellschaft für Informatik),
• nyacawsino.ga alias dlr.de (Deutsches Zentrum für Luft- und Raumfahrt) oder
• tallkronann.gq alias nordlb.de (Norddeutsche Landesbank).

Des Weiteren sind https-Sites genauso betroffen wie http-Sites. Also kann man wohl kaum mehr tun, als täglich oder zumindest wöchentlich nach eigenen, ganz typischen, längeren Phrasen zu googeln. Mög­li­cherweise können auch Dienste wie google.de/alerts oder talkwalker.com/alerts helfen; wir verlassen uns darauf aber nicht - ilenaa.ga ist über solche Dienste nicht auf unserem Radar erschienen. Wir benutzen eine eigens für baulinks.de programmierte Software.

Wenn die eigene Web-Site geklont wird, sollte man erst mal auf dem eigenen Server den Klon sperren bzw. ausschließen, denn das hat man selber in der Hand. Dazu haben wir unseren allerersten Beitrag des Jahrtausends via „ilenaa.ga/webplugin/2000/0001.php4“ aufgerufen und dann in der Log-Datei unseres eigenen Servers nach „webplugin/2000/0001.php“ gesucht. Da ilenaa.ga nicht gecached hat, ließ sich die IP-Adresse vergleichsweise leicht feststellen. In anderen Fällen kann man die gleiche Methode mit einem extra erstellten, neuen Online-Dokument anwenden.

Sollte der Klon Inhalte cachen (zwischenspeichern), ist es außerdem erforderlich, ...

• über die IP-Adresse und mittels eines whois-Dienstes in Erfahrung zu bringen, wer den Betrieb des klonenden Servers sowie die DNS-Einträge technisch verantwortet, und dann...
• Hoster und Registrierungsstelle aufzufordern, die Accounts zu löschen.

Die entsprechenden Dienstleister bieten in der Regel auf ihrer Web-Site die Möglichkeit an, Missbrauch per Formular oder E-Mail zu melden (Stichwort: Abuse). In Fällen von Klon-Domains mit den Top-Level-Domains (ccTLD) ga, gq, cf und tk könnten Mails an abuse@freenom.com und abuse@cloudflare.com unmittelbar zielführend sein:

Im Falle von ilenaa.ga wurde sofort nach der Sperrung der IP-Adresse auf dem baulinks.de-Server beim Aufruf von ilenaa.ga nur noch eine leere Seite an den Client / Web-Browser ausgeliefert (unser Content wurde also Klon-seitig nicht gespeichert). Und nach der Abuse-Anzeige war der Klon innerhalb von 36 Stunden komplett vom Netz.

Update vom 7.10.2017: langfristig in Luft auflösend

Darüber hinaus ist zu erwarten, dass sich innerhalb von mehreren Monaten jedes einzelne Klon-Problem von alleine lösen könnte - mal abgesehen von der längerfristigen Degradierung in den Google-Sucherergebnissen. Denn nach unserer Beobachtung, wird mit der Zeit der Originaltext soweit verdrängt, dass von der ursprünglichen Web-Site irgendwann nichts mehr übrig bleibt - außer vielleicht noch eine Zeit lang ein Logo, wie man am Beispiel konsertkonpgress.tk alias bpb.de (Bundeszentrale für politische Bildung) sieht:

Pro Seite dauert dieser vollständige Umwandlungs-Prozess vielleicht „nur“ einige Wochen oder Monate - aber eine große Web-Site besteht nun mal aus vielen Seiten, die zeitversetzt sukzessive geklont und manipuliert werden. So kann es passieren, dass die Startseite bereits ganz zerfleddert ist, während eine Unterseite mit einer längeren URL nur kaum verändert erscheint - hier am Beispiel noradicestates.tk alias meinhausshop.de

Screenshot vergrößern	Screenshot vergrößern

Vor diesem Hintergrund könnte die „Klonerei“ schon seit Jahren laufen, und die einzelnen Opfer haben es „nur“ an einer vorübergehenden Delle in ihren Zugriffszahlen gemerkt, ohne zu wissen, woher die Misere rührt. [Ende des Updates vom 7.10.]

Google aufzufordern, den Klon mit allen Seiten aus dem Suchindex zu entfernen (support.google.com/legal/troubleshooter/1114905?hl=de), hat in unserem Fall mit ilenaa.ga übrigens nichts Nachvollziehbares gebracht. Und so war ilenaa.ga noch bis Anfang Oktober im Google-Index zu finden.

Update vom 8.10.2017: Google hat möglicherweise reagiert

Irgendeine Person bei Google oder irgendein Algorithmus der Suchmaschine hat sich wohl inzwischen unsere kleine Auswahl von Web-Site-Klonen angeschaut, denn Abfragen mit dem Befehl „site:“ führen bei den aufgelisteten Fällen jetzt zu enorm aufgeräumten Ergebnissen - Beispiel „site:iddqdgapmer.tk“ alias bakaberlin.de:

Bei diesen Suchergebnissen fehlen bereits alle geklonten HTML-Seiten, und die gefunden PDF-Dateien werden mit den Original-URLs(!) angezeigt (gelb markiert), obwohl diese mit „site:iddqdgapmer.tk“ gar nicht abgefragt wurde. Andere „site:“-Abfragen von Klonen, die wir ebenfalls gefunden aber nicht weiterverfolgt und gelistet haben - da nicht baurelevant -, geben dagegen noch ein ganz anderes Bild ab:

• site:hoztelboliqueime.cf (Screenshot vom 8.10) alias autoscout24.de (Screenshot vom Klon)
• site:azlmnas.cf (Screenshot vom 8.10) alias auto-motor-und-sport.de (Screenshot vom Klon)
• site:fagaens.gq (Screenshot vom 8.10) alias mbgtc.de (Mercdes-Benz Gebrauchtteile; Screenshot vom Klon) [Ende des Updates vom 8.10.]

Blöde Idee?!

Zwischendurch hatten wir mal kurzzeitig überlegt, „unsere“ freigewordene Klon-Domain ilenaa.ga selber zu registrieren und per http-response-status-code 301 (Moved Permanently) auf baulinks.de umzuleiten - zumindest solange geklonte Seiten in den Google-Suchergebnissen auftauchen. Wir haben den Plan dann aber nicht umgesetzt, weil Weiterleitungen von Frauen-suchen-junge-Männer-URLs vielleicht doch nicht so Reputations-fördernd für ein Bau- und Architektur-Portal sind.

Wer steckt hinter den Klonen?

Wir wissen es nicht. Im Falle von ilenaa.ga waren Hintermänner nicht auszumachen, da die Domain kostenlos und damit praktisch anonym registriert worden war. Auch der Betreiber der Serverfarm (Hoster) hat sich über das Berücksichtigen unserer Abuse-Anzeige hinaus nicht kooperativ verhalten. Wir sind der Sache dann nicht weiter nachgegangen - zumal der Klon ja auch schnell offline war (siehe oben).

Bei allen gefunden Klonen folgen jedenfalls die Textergänzungen in Phase eins immer demselben Muster. Und in Phase zwei scheinen immer dieselben Bilder zum Einsatz zu kommen, so dass wir davon ausgehen, dass hinter all der Klonerei dieselbe Person oder Organisation steckt, die ein „soziales netzwerk für SEX!“ betreibt oder aufbauen will.

Wir werden diese „Klonerei“ weiterverfolgen. Sollte es relevante neue Erkenntnisse geben, dann werden wir sie hier (Direkt-Link: bau.st/klone) veröffentlichen.

Mal ganz nebenbei: Da die ga-, gq-, cf- oder tk-Klone auch Bilder über ihre jeweiligen Domains ausliefern, werden nicht nur Text- sondern auch Bildrechte in einem exorbitanten Maße verletzt. Andererseits ergeben sich damit weitere Möglichkeiten der Recherche nach Web-Site-Klonen, indem man die Bilder-Suche von Google nutzt: Einfach auf das Kamera-Icon im Eingabefeld klicken und dann die URL eines Bildes eingeben.

weiteres Update vom 8.10.2017: Nachspann

Während des diesjährigen Jahrestreffens des Arbeitskreises Baufachpresse in Wien (5. bis 7. Oktober) wurden die Mitglieder eingehend über die aktuelle Situation informiert. Ulrike Trampe, frisch gewählte Vorsitzende des über 50 Jahre alten Berufsverbands und Chefredakteurin von „Die Wohnungswirtschaft“, will die Branche für dieses Problem verstärkt sensibilisieren. Dazu hat der Arbeitskreis auch eine Pressemitteilung veröffentlicht.