Dieser Blog wird kopiert

Steve hat mich heute früh per Mail darüber informiert (Danke nochmals dafür), das auch dieses beschauliche Blog aktuell kopiert wird. Wie man im Screenshot sehen kann, stand eine Kopie dieses Blogs unter der Domain www.voooti.com zur Verfügung. Ärgerlich, aber man ist nicht alleine.

Kopie von Andy's Blog auf voooti.com

Bei Google+ bzw. im SEO-United Forum finden sich mehrere Opfer und auch die Lösung des Problems. Ich gebe hier jetzt noch mal eine Zusammenfassung der einzelnen Schritte wieder:

Per whois den Registrar herausfinden und Diesen per Mail an „abuse@…“ informieren. Je nach Anbieter habe ich persönlich da zwar wenig Hoffnung, aber Ordnung muss sein.

Bei Google+ findet sich der Tipp, an die Fake-Domain, damit ist die Domain der kopierten Webseite gemeint, einen frei erfundenen Paramter („?x=test“) anzuhängen. In meinem Fall also

www.voooti.com/?x=test

Damit lässt sich dann im Log des Webservers die IP des aufrufenden Webservers (ich nenne es mal die IP der „Raubkopierer“) finden. Mit anderen Worten: Das Log nach diesem Parameter durchsuchen. Je nach Webserver bzw. Anbieter kann man evtl. erst jenseits von 0 Uhr auf das Log zugreifen. Bei root-servern oder haus-eigener Webserver sieht das wieder anders aus. Ich hätte bei meinem Anbieter auch bis zum Tageswechsel warten müssen, aber die Ungeduld trieb mich um, so das ich die Sache nun so gelöst habe:

In meinem Fall hat geholfen, die Fake-Domain per nslookup aufzulösen:

Name: voooti.com
Address: 74.121.191.124

Ich habe dann via .htaccess, da Apache beim Provider zum Einsatz kommt, sowohl das IP-Netz als auch die Domain gesperrt:

# IP-Sperre voooti.com
order allow,deny
deny from .voooti.com
deny from 74.121.191
allow from all

Im Moment, so scheint es, ist Schluss mit Kopieren.

403-Fehlermeldung bei www.voooti.comUpdate 29.03.2013

Ich habe nun von meinem Provider das Apache Log von gestern und habe das nach dem an die Fake-Domain angehängten Parameter durchsucht und den entsprechenden Aufruf gefunden:

74.121.191.124 - - [28/Mar/2013:09:05:40 +0100] "GET /?x=test HTTP/1.1" 200 32551 "https://www.andysblog.de/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/25.0.1364.97 Safari/537.22"

Wie man sieht, deckt sich die im Log befindliche IP-Adresse mit der IP die zuvor gesperrt wurde. Laut Log gab es 386 Zugriffe am Donnerstag von dieser IP aus.

Update 01.04.2013

„Es wurde ein neues Opfer gefunden“ könnte man sagen. Jetzt hat es fashiontips.de erwischt. Man kann „wunderbar“ sehen, das nicht nur schlicht eine Umleitung stattfindet, sondern dabei die Original-URLs durch voooti.com ersetzt werden. Dies birgt dann unter anderem bei der E-Mail-Kommunikation gefahren oder es könnte „ungewollte“ Werbung oder gar digitale Schädlinge eingeschleust werden.

Vom Provider bzw. Registrar habe ich indes (wie erwartet) nichts gehört. Es ist also gar nicht so einfach, auf ordentlichem Wege, dieses Problem zu lösen. Den Betreiber von fashiontips.de habe ich über den Umstand informiert.

Update 02.04.2013 – 1

Heute bekam ich doch noch eine Antwort vom Registrar, allerdings mit der wenig überraschenden Mitteilung, das die von mir gemeldete Seite sehr unterschiedlich zu meinem Blog wäre.

Das ist soweit auch nachvollziehbar, denn im Moment (und nach der Sperrung des Zugriffs von voooti.com auf meinen Blog) gelangt man bei Aufruf der Fake-Domain auf eine Kopie von fashionstips.de.

Ich habe dem Registrar per Mail erklärt, was bislang meines Wissens nach gelaufen ist und das nun eben eine andere Seite missbraucht wird.

Update 02.04.2013 – 2

Wie mich mein Provider gerade hat wissen lassen, kann derzeit meine Antwort an den Registrar nicht zugestellt werden. Es wird weiterhin versucht. Das hebt nicht gerade meinen Eindruck von diesem Anbieter. Leider ist die Fake-Domain weiterhin aktiv.

Update 09.04.2013

Meine Mail an den Registrar scheint doch durchgegangen zu sein, ob es was gebracht hat, keine Ahnung. Offensichtlich hat sich aber irgendwas getan, da im Moment so gut wie nichts auf der Seite zu sehen ist. Löst man allerdings die Domain auf, so findet sich eine neue IP. Die Domain „verweist“ im Moment auf parkingcrew.net, dort gibt es nicht viel zu sehen.

2 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.