DHL är säkert bra på mycket, men..

Jag föreläser och skriver ganska ofta om ”kinesiska piratshoppar.

Och jag tänkte i detta inlägg berätta om ett av flera sätt som ”kineserna” använder för att få sidorna högt placerade i Googles resultat.

De hackar ”vanliga sidor” och lägger in dolda länkar till piratshopparna.

Länkar som i sin tur ger ”styrka” till piratshopparna, så att de rankar bättre i Google (och andra sökmotorer)

Hur de går tillväga kan jag inte säkert svara på, men det ser ut som att ”svaga lösenord” kan vara anledning till att svenska hemsidor länkar till kinesiska piratshoppar på Internet.

Det kan verka aningen styggt av mig att ”hänga ut” en drabbad hackad aktör, men jag gör detta av flera orsaker:

– dels visa hur pass komplext det är att ”hitta källan”
– Visa hur illa det kan gå med för ”många kockar” – alltså att innehavaren använder flera olika registrarer (där man registrerar domännamnen, och där man använder namnservrar)
– visa skillnad på domännamnsadress, namnservrar, målserver och innehåll osv.

Jag vill poängtera att detta drabbade företag på inget sätt är ensamt, utan endast ett exempel bland många drababde.

Det handlar om DHL (Deutsche Post) som har 10 adresser/sidor som är HACKADE (och har varit så en längre tid) och det dom gör är att i sin tur länka ut till ett antal kinesiska piratshoppar med ”dolda länkar”.

Helt klart utan sidinnehavarnas vetskap.

Börjar vi med domännamnen, så är de registrerade genom flera olika registrarer (som administrerar domännamnen), domänerna använder i flera fall registrarernas namnservrar och flera av dessa registrarer är också webbhotell.
Så det kan ses som naturligt att det är just det kontaktvägen man borde gå för att påkalla uppmärksamhet om att sidorna är hackade.
Men så är det inte, för DHL har sitt innehåll på en egen server, eller nej inte en egen, eller de sköter inte om den själva, för det gör Logica (fd WM-Data)..

Vi börjar..

Tittar vi på:

http://www.servicepoint.se

Registrar: AB Name ISP

Nameservers
ns4.p21.dynect.net
ns3.p21.dynect.net
ns2.p21.dynect.net
ns1.p21.dynect.net

Servicepoint.se Server Details
IP address: 164.9.104.199
Server Location: Sweden
ISP: Logica AB

Om vi högerklickar på sidinnehållen, så ser vi att samtliga dessa sidor länkar till följande 9 kinesiska piratshoppar (högerklicka på sidan -> Visa sidkälla -> Rulla längst ner så hittar du):

<a href=”http://www.winterwomensboots.org/” title=”Cheap Ugg Boots”>Cheap Ugg Boots</a>
<a href=”http://www.wintersheepskinboots.co.uk/” title=”Sheepskin Boots”>Sheepskin Boots</a>
<a href=”http://www.wintercheapboots.co.uk/” title=”Cheap Winter Boots”>Cheap Winter Boots</a>
<a href=”http://www.winter-boots.nl/” title=”Ugg Shoes”>Ugg Shoes</a>
<a href=”http://www.winterdiscountboots.com/” title=”Discount Boots”>Discount Boots</a>
<a href=”http://www.wintercheapshoes.com/” title=”Winter Shoes”>Winter Shoes</a>
<a href=”http://www.monclerjackets88.com/”>cheap Moncler outlet</a>
<a href=”http://www.moncler-jackets3.co.uk/”>moncler down coats</a>
<a href=”http://www.nfljerseys1.com/” title=”wholesale nfl jerseys”>wholesale nfl jerseys</a>

Problemet är att de flesta av dessa adresser går till separata siter, som i sin tur har ett antal sidor – och varje sida innehåller dessa utgående länkar.

Vi kikar vidare:

http://www.dhlservicepoint.se

Registrar: SE Direkt

Creation Date: 04/21/2008

Nameservers
ns1.rymdweb.com
ns2.rymdweb.com

Dhlservicepoint.se Server Details
IP address: 164.9.104.199
Server Location: Sweden
ISP: Logica AB

http://www.dhlexpresseasy.se

Registrar: Domaininfo AB

Creation Date: 11/12/2010
Nameservers
dns02.domaininfo.com
dns01.domaininfo.com
Dhlexpresseasy.se Server Details
IP address: 164.9.104.199
Server Location: Sweden
ISP: Logica AB

http://www.dhlservicecenter.se

Registrar: SE Direkt

Creation Date: 03/25/2009
Nameservers
ns3.bluerange.com
ns2.bluerange.se
ns1.bluerange.se

Dhlservicecenter.se Server Details
IP address: 164.9.104.199
Server Location: Sweden
ISP: Logica AB

http://www.dhldashboard.se

Registrar: SE Direkt

Creation Date: 01/22/2008
Nameservers
ns1.bluerange.se
ns2.bluerange.se
ns3.bluerange.com

Dhldashboard.se Server Details
IP address: 164.9.104.199
Server Location: Sweden
ISP: Logica AB

http:/www.expresseasy.se

Registrar: Domaininfo AB

Creation Date: 11/08/2010
Nameservers
edns03.ports.net
edns01.ports.net

Expresseasy.se Server Details

IP address: 164.9.104.199
Server Location: Sweden
ISP: Logica AB

http://www.dhlfreight.se

Registrar: Bluerange Techno

Creation Date: 03/16/2012
Nameservers
ns1.bluerange.se
ns2.bluerange.se
ns3.bluerange.com

Dhlfreight.se Server Details

IP address: 164.9.104.199
Server Location: Sweden
ISP: Logica AB

http://www.dhltoolbox.se ->302 moved to-> http://www.dhltoolbox.se/dhltoolbox/default.aspx ->302 moved to-> http://164.9.104.199/dhltoolbox/

Registrar: SE Direkt

Creation Date: 01/22/2008
Nameservers
ns1.bluerange.se
ns2.bluerange.se
ns3.bluerange.com

Dhltoolbox.se Server Details

IP address: 164.9.104.199
Server Location: Sweden
ISP: Logica AB

http://www.dhlfreight.dk

Registrant
DHL Freight Denmark A/S DHL Freight Denmark A/S ns.scannet2.dk ns2.scannet2.dk ns3.scannet2.dk
Jydekrogen 14 Jydekrogen 14
Vallensb?k Vallensb?k, Administrator 2625 2625
DK DK
Telephone: +45 70130180 +45 70130180

Dhlfreight.dk Server Details

IP address: 164.9.104.199
Server Location: Sweden
ISP: Logica AB

http://www.dhlfreight.fi

Dhlfreight.fi Website Information

Creation Date
03/20/2012
Nameservers
ns1.bluerange.se [Ok]
ns3.bluerange.com [Ok]
ns2.bluerange.se [Ok]

IP address: 164.9.104.199

Server Location: Sweden
ISP: Logica AB

Problem med att sidor blir hackade.

Det är så klart värre när sidor blir hackade och sprider skadlig kod som besökare smittas av, men jag är övertygad om att det inte är DHL:s vilja att skicka länkkraft till kinesiska piratshoppar.

Så vem bär ansvaret?
Jo, naturligtvis är du som innehavare ansvarig för din sidas innehåll.
Sedan att DHL i dessa fall inte samlat domänerna hos en leverantör är bara något som jag kan beklaga.

Nu visste jag att flera av deras adresser var hackade och det naturliga för mig och ”en välvillig besökare” hade då varit att kontakta registraren/webbhotell och upplyst om detta, men då det handlar om minst 4 registrarer och minst 6 olika namnserverleverantörer, så hade dessa ändå inte kunnat lösa problemet, då sidinnehållet sköts av Logica.
Detta är dessutom något som 99% av de ”välvilliga besökarna inte hittar eller förstår, utan det är då risk för att ovan registrarer får kritik för sämre webbsäkerhet..

Nu vill jag upprepa att DHL på inget sätt är ensamma om att ha blivit hackade av dessa filurer, men jag anser ändå att detta är bra exempel på hur fel det kan gå när man (kunden) trasslar till det med ett otal leverantörer i flera led.
Och där det krävs lite mer avancerad kunskap för att söka och hitta omfattningen av skadan..

Sen att flera av sidorna ovan dessutom gör SEO-mässig ”hara-kiri” med temporära redirects (302:or) och ”Title: Hem, Description: n/a, Keywords: n/a” – låter jag andra raljera över..

 

Related Articles

5 Comments

Avarage Rating:
  • 0 / 10
  • Marcus Österberg , söndag 24 juni 2012 @ 20:09

    Illa.
    Att de saknar keywords är dock ingen fara numera…

  • Gugge , måndag 25 juni 2012 @ 10:52

    Hmm…
    Det där känner jag igen från egna sajter.
    Men jag misstänker att det går att diskutera vad som avses med ”hackade” sidor i detta fall.

    Jag ser ju att dessa DHL-siter är baserade på DotNetnuke, men jag har sett liknande på Joomla-baserade siter. Vad det troligen handlar om är att det används ”gratis”-tillägg till sitt CMS som lägger in dessa (ofta dolda) länkar i sidorna.

    De finns de som öppet redovisar att deras komponenter och tillägg lägger in olika redirect-länkar till författarnas hemsidor eller till annonssponsrade sidor, vilka kan stängas av genom att betala för en licens, men mindre nogräknade programmerare kan lätt skapa tillägg och kunktioner som gör annat (eller mer) än vad de utser sig för.

    Många av dessa ”hack” är lätt att lösa genom att hålla CMS-programvaran uppdaterad, men med den snabba utveckling som sker på webfronten innebär det ofta att andra funktioner slutar fungera.

    Jag sitter själv med en sajt för en ideell förening som vräker ut en massa ”ugg”-länkar som är baserad på en äldre Joomla-version. Jag vet var felet ligger. Jag vet att den ska uppdateras, men där finns också komponenter vars funktion jag ännu inte (efter två års ivrigt sökande), klarar av att flytta över till en nyare Joomlaversion. Och då sitter jag lite fast.

    Alldeles oavsett vad eventuell DNS-registratorer tycker.

  • Jonas , måndag 25 juni 2012 @ 11:43

    Gugge: Menar du att ni använder Joomla-kod som länkar helt öppet till just kinesiska piratshoppar? Eller är det tex länkar till ett temas författare du kallar ”ugg-länkar”?

  • Gugge , måndag 25 juni 2012 @ 22:31

    Mnjaa …
    Det går att hitta gamla kines-websiter, men bara om du väljer ”visa källkod”

    Jag har, så att säga, manuellt ”hackat bort” de funktioner som skapade själva länkarna, så de är väck.

    Men min poäng var nog snarare att det inte är några ”svaga lösenord” som är skälet till att kinesiska piratsajter dyker upp på svenska websidor utan snarare att det finns en jäkla massa mer eller mindre luriga/lätthackade CMS-komponenter som har installerats på en mängd websajter.

  • Jonas , tisdag 26 juni 2012 @ 7:09

    Ah du menar så. Ja, vi jobbar mkt med wordpress som är relativt sårbart för hack även när det är uppdaterat, så jag vet vad du menar. Finns många sätt att plantera länkar eller värre saker tyvärr.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *