By Jag föreläser och skriver ganska ofta om ”kinesiska piratshoppar.
Och jag tänkte i detta inlägg berätta om ett av flera sätt som ”kineserna” använder för att få sidorna högt placerade i Googles resultat.
De hackar ”vanliga sidor” och lägger in dolda länkar till piratshopparna.
Länkar som i sin tur ger ”styrka” till piratshopparna, så att de rankar bättre i Google (och andra sökmotorer)
Hur de går tillväga kan jag inte säkert svara på, men det ser ut som att ”svaga lösenord” kan vara anledning till att svenska hemsidor länkar till kinesiska piratshoppar på Internet.
Det kan verka aningen styggt av mig att ”hänga ut” en drabbad hackad aktör, men jag gör detta av flera orsaker:
– dels visa hur pass komplext det är att ”hitta källan”
– Visa hur illa det kan gå med för ”många kockar” – alltså att innehavaren använder flera olika registrarer (där man registrerar domännamnen, och där man använder namnservrar)
– visa skillnad på domännamnsadress, namnservrar, målserver och innehåll osv.
Jag vill poängtera att detta drabbade företag på inget sätt är ensamt, utan endast ett exempel bland många drababde.
Det handlar om DHL (Deutsche Post) som har 10 adresser/sidor som är HACKADE (och har varit så en längre tid) och det dom gör är att i sin tur länka ut till ett antal kinesiska piratshoppar med ”dolda länkar”.
Helt klart utan sidinnehavarnas vetskap.
Börjar vi med domännamnen, så är de registrerade genom flera olika registrarer (som administrerar domännamnen), domänerna använder i flera fall registrarernas namnservrar och flera av dessa registrarer är också webbhotell.
Så det kan ses som naturligt att det är just det kontaktvägen man borde gå för att påkalla uppmärksamhet om att sidorna är hackade.
Men så är det inte, för DHL har sitt innehåll på en egen server, eller nej inte en egen, eller de sköter inte om den själva, för det gör Logica (fd WM-Data)..
Vi börjar..
Tittar vi på:
http://www.servicepoint.se
Registrar: AB Name ISP
Nameservers
ns4.p21.dynect.net
ns3.p21.dynect.net
ns2.p21.dynect.net
ns1.p21.dynect.net
Servicepoint.se Server Details
IP address: 164.9.104.199
Server Location: Sweden
ISP: Logica AB
Om vi högerklickar på sidinnehållen, så ser vi att samtliga dessa sidor länkar till följande 9 kinesiska piratshoppar (högerklicka på sidan -> Visa sidkälla -> Rulla längst ner så hittar du):
<a href=”http://www.winterwomensboots.org/” title=”Cheap Ugg Boots”>Cheap Ugg Boots</a>
<a href=”http://www.wintersheepskinboots.co.uk/” title=”Sheepskin Boots”>Sheepskin Boots</a>
<a href=”http://www.wintercheapboots.co.uk/” title=”Cheap Winter Boots”>Cheap Winter Boots</a>
<a href=”http://www.winter-boots.nl/” title=”Ugg Shoes”>Ugg Shoes</a>
<a href=”http://www.winterdiscountboots.com/” title=”Discount Boots”>Discount Boots</a>
<a href=”http://www.wintercheapshoes.com/” title=”Winter Shoes”>Winter Shoes</a>
<a href=”http://www.monclerjackets88.com/”>cheap Moncler outlet</a>
<a href=”http://www.moncler-jackets3.co.uk/”>moncler down coats</a>
<a href=”http://www.nfljerseys1.com/” title=”wholesale nfl jerseys”>wholesale nfl jerseys</a>
Problemet är att de flesta av dessa adresser går till separata siter, som i sin tur har ett antal sidor – och varje sida innehåller dessa utgående länkar.
Vi kikar vidare:
http://www.dhlservicepoint.se
Registrar: SE Direkt
Creation Date: 04/21/2008
Nameservers
ns1.rymdweb.com
ns2.rymdweb.com
Dhlservicepoint.se Server Details
IP address: 164.9.104.199
Server Location: Sweden
ISP: Logica AB
http://www.dhlexpresseasy.se
Registrar: Domaininfo AB
Creation Date: 11/12/2010
Nameservers
dns02.domaininfo.com
dns01.domaininfo.com
Dhlexpresseasy.se Server Details
IP address: 164.9.104.199
Server Location: Sweden
ISP: Logica AB
http://www.dhlservicecenter.se
Registrar: SE Direkt
Creation Date: 03/25/2009
Nameservers
ns3.bluerange.com
ns2.bluerange.se
ns1.bluerange.se
Dhlservicecenter.se Server Details
IP address: 164.9.104.199
Server Location: Sweden
ISP: Logica AB
http://www.dhldashboard.se
Registrar: SE Direkt
Creation Date: 01/22/2008
Nameservers
ns1.bluerange.se
ns2.bluerange.se
ns3.bluerange.com
Dhldashboard.se Server Details
IP address: 164.9.104.199
Server Location: Sweden
ISP: Logica AB
http:/www.expresseasy.se
Registrar: Domaininfo AB
Creation Date: 11/08/2010
Nameservers
edns03.ports.net
edns01.ports.net
Expresseasy.se Server Details
IP address: 164.9.104.199
Server Location: Sweden
ISP: Logica AB
http://www.dhlfreight.se
Registrar: Bluerange Techno
Creation Date: 03/16/2012
Nameservers
ns1.bluerange.se
ns2.bluerange.se
ns3.bluerange.com
Dhlfreight.se Server Details
IP address: 164.9.104.199
Server Location: Sweden
ISP: Logica AB
http://www.dhltoolbox.se ->302 moved to-> http://www.dhltoolbox.se/dhltoolbox/default.aspx ->302 moved to-> http://164.9.104.199/dhltoolbox/
Registrar: SE Direkt
Creation Date: 01/22/2008
Nameservers
ns1.bluerange.se
ns2.bluerange.se
ns3.bluerange.com
Dhltoolbox.se Server Details
IP address: 164.9.104.199
Server Location: Sweden
ISP: Logica AB
http://www.dhlfreight.dk
Registrant
DHL Freight Denmark A/S DHL Freight Denmark A/S ns.scannet2.dk ns2.scannet2.dk ns3.scannet2.dk
Jydekrogen 14 Jydekrogen 14
Vallensb?k Vallensb?k, Administrator 2625 2625
DK DK
Telephone: +45 70130180 +45 70130180
Dhlfreight.dk Server Details
IP address: 164.9.104.199
Server Location: Sweden
ISP: Logica AB
http://www.dhlfreight.fi
Dhlfreight.fi Website Information
Creation Date
03/20/2012
Nameservers
ns1.bluerange.se [Ok]
ns3.bluerange.com [Ok]
ns2.bluerange.se [Ok]
IP address: 164.9.104.199
Server Location: Sweden
ISP: Logica AB
Problem med att sidor blir hackade.
Det är så klart värre när sidor blir hackade och sprider skadlig kod som besökare smittas av, men jag är övertygad om att det inte är DHL:s vilja att skicka länkkraft till kinesiska piratshoppar.
Så vem bär ansvaret?
Jo, naturligtvis är du som innehavare ansvarig för din sidas innehåll.
Sedan att DHL i dessa fall inte samlat domänerna hos en leverantör är bara något som jag kan beklaga.
Nu visste jag att flera av deras adresser var hackade och det naturliga för mig och ”en välvillig besökare” hade då varit att kontakta registraren/webbhotell och upplyst om detta, men då det handlar om minst 4 registrarer och minst 6 olika namnserverleverantörer, så hade dessa ändå inte kunnat lösa problemet, då sidinnehållet sköts av Logica.
Detta är dessutom något som 99% av de ”välvilliga besökarna inte hittar eller förstår, utan det är då risk för att ovan registrarer får kritik för sämre webbsäkerhet..
Nu vill jag upprepa att DHL på inget sätt är ensamma om att ha blivit hackade av dessa filurer, men jag anser ändå att detta är bra exempel på hur fel det kan gå när man (kunden) trasslar till det med ett otal leverantörer i flera led.
Och där det krävs lite mer avancerad kunskap för att söka och hitta omfattningen av skadan..
Sen att flera av sidorna ovan dessutom gör SEO-mässig ”hara-kiri” med temporära redirects (302:or) och ”Title: Hem, Description: n/a, Keywords: n/a” – låter jag andra raljera över..
Jag som skriver på internetsweden.se, gör det ideellt och för att upplysa dig om verksamheter som JAG anser att det finns skäl att ifrågasätta och/eller varna för..
Innehållet kan även vara mer generellt om olika tillvägagångssätt, som bedragare använder och det händer även att jag tipsar om utbildning/kunskap som finns att få.
Det är möjligt att anlita mig för konsultuppdrag genom Fidi.se
Peter Forsman – Mottagare av ”Stora Kreditpriset 2018”
Läs mer om:
https://www.internetsweden.se/las-mer-om-internet-sweden/
5 Comments