Google-Hacking: Black Hat SEO
Feindliche Suchmaschinen-Optimierung

SicherheitSicherheitsmanagement

Cross-Site-Scripting ist eines der größten Sicherheitsrisiken dynamischer Websites. Die Technik eignet sich sogar dazu, fremde Websites aus dem Google-Index zu entfernen.

Gefahr fürs Suchmaschinen-Ranking

Google-Hacking: Black Hat SEO

Die Frage hat sich wohl jeder Website-Besitzer schon einmal gestellt: Können Mitbewerber oder böswillige Zeitgenossen das Google-Ranking fremder Websites beeinflussen? Google beantwortet diese Frage in seinen Webmaster-FAQ mit einem ziemlich klaren Nein. Ganz so einfach ist es aber doch nicht. Selbst Googles oberster Spam-Bekämpfer Matt Cutts hat jüngst eingeräumt, dass es gewisse Risiken gibt, wenn Hackermethoden zum Einsatz kommen, um Mitbewerber zu diskreditieren. Solche Angriffe nennt man Black Hat Search Engine Optimization, kurz Black Hat SEO. Der Begriff ist aus der Hacker-Szene entliehen, wo Black Hats diejenigen sind, die aus niederen Motiven hacken, im Gegensatz zu White Hats, die Hacking mit Blick auf eine Verbesserung der Sicherheit praktizieren.

Black Hat SEO ist darauf ausgerichtet, gezielt Mitbewerber aus den Suchmaschinen-Indizes zu drängen. Statt also die eigene Website zu optimieren, entledigen sich diese Zeitgenossen einfach der Mitbewerber, um für die eigene Site ein höheres Ranking zu erzielen. Erfreulicherweise gibt es relativ wenig Ansatzpunkte, mit denen ein Übeltäter seinem Mitbewerb in Bezug auf das Suchmaschinen-Ranking wirklich direkt schaden kann.

Andererseits ist auch etwas blauäugig, wenn beispielsweise Google in seinen FAQ schreibt »Es gibt nahezu nichts, was ein Mitbewerber tun kann, um Ihr Ranking zu beeinflussen oder Ihre Site aus dem Index zu entfernen«. Denn es gibt zumindest eine äußerst wirkungsvolle Methode, andere Websites abzuschießen. Diese Gefahr besteht immer dann, wenn auf der betreffenden Website Content dynamisch generiert wird, also beispielsweise PHP-Skripts laufen, die den Content bei jedem Seitenaufruf neu zusammenstellen und ausliefern. Ist irgendein Skript auf dem Server, und sei es nur eines, das dort nur unbenutzt und unbeachtet herumliegt, anfällig für Cross Site Scripting (XSS), besteht höchste Gefahr. Dass Cross Site Scripting zu den häufigsten Sicherheitslücken bei serverseitigen Skripts zählt, lässt sich leicht nachvollziehen, wenn man beispielsweise bei Secunia.com nach dem Stichwort »XSS« sucht.


Cross Site Scripting

Google-Hacking: Black Hat SEO

Wie gefährdet Cross Site Scripting das Suchmaschinen-Ranking Ihrer Website? Der Angreifer ist mit XSS in der Lage, seinen Code auf Ihrem Server auszuführen beziehungsweise Ihre Seiten oder Datenbankinhalte zu ändern. Das ist immer dann möglich, wenn ein Skript Daten ungeprüft oder unzureichend geprüft vom User übernimmt. Wäre beispielsweise ein gültiger Seitenaufruf auf Ihrem Webserver get http://www.meine-domain.de/script.php& page-id=3989, so könnte ein Angreifer anstelle einer gültigen Page-ID bösartigen Code übermitteln – wenn das Skript den Input nicht ausreichend prüft, kann dieser Code zur Ausführung kommen. Kritisch kann aber beispielsweise auch der Einsatz von Cookies in Zusammenhang mit Javascript sein.

Black Hat SEO würden diese Situation ausnützen, um Content in Ihre Website einzuschmuggeln, der Suchmaschinen dazu bewegen wird, das Ranking Ihrer Site herunterzusetzen oder Sie gar ganz aus dem Index zu verbannen. Beispielsweise mögen Suchmaschinen es gar nicht, wenn der Crawler vom Webserver etwas anderes angezeigt bekommt, als der normale Website-Besucher. Der Black Hat würde also eine Weiche in Ihre Homepage einbauen, die dem normalen Besucher die ganz normale Seite anzeigt, dem Google-Crawler Googlebot aber eine nach allen Regel der Kunst gestaltete Spam-Seite. Da Google mehrere Crawler mit unterschiedlichen Namen betreibt, würde schnell einer der anderen Crawler feststellen, dass etwas nicht stimmt. Und ohne dass Sie zunächst den Grund dafür erkennen können, weil Sie ja nach wie vor in Ihrem Browser die normale Webseite sehen, taucht Ihre Site plötzlich nicht mehr im Google-Index auf.

War der Angreifer besonders vorsichtig, dann hat er sogar noch einen zusätzlichen Trick angewandt. Denn gezieltes Cross Site Scripting lässt sich auch über einen ganz normalen Link auf einer anderen Website ausführen. Der Angreifer platziert also einen solchermaßen präparierten Link auf irgendeiner Seite und wartet, bis ein ahnungsloser User bei seinem nächsten Besuch diesen Link verfolgt und damit das Cross Site Scripting ausführt. So taucht nicht einmal die IP-Adresse des Täters in den Logfiles auf. Macht er die Veränderungen an der Site des Opfer nach erfolgreichem Delisting bei Google über denselben Weg wieder rückgängig, hat das Opfer nahezu keine Chance, auch nur festzustellen, warum es eigentlich aus dem Google-Index gelöscht wurde.


Schutz vor Black Hat SEO

Google-Hacking: Black Hat SEO

Wer begründeten Verdacht hegt, Opfer eines solchen Angriffs zu werden und absolut auf Nummer sicher gehen will, dem bleibt nur, von Anfang an rein statische Webseiten zu erstellen oder Scripting nur in passwortgeschützten Bereichen zu verwenden, beispielsweise um aus dynamischem gepflegtem Content einmal wöchentlich für den öffentlich zugänglichen Bereich statische HTML-Seiten zu erstellen.

Die weitaus praktikablere Methode ist, konsequent alle Skripts auf dem Webserver zu patchen und genau die entsprechenden Security-Meldungen und Hersteller-Foren zu beobachten, um auf neu entdeckte Sicherheitslücken sofort reagieren zu können. Darüber hinaus gibt es professionelle Dienstleister, die Skripts gezielt auf Sicherheitslücken hin überprüfen, beispielsweise Chorizo. Bei selbst geschriebenen Skripts sollte das beinahe Pflicht sein.

In Einzelfällen interessant sein kann eine Analyse, was exakt eine Suchmaschine vom Webserver bekommt, wenn sie Ihre Seiten besucht. Hierfür ist es nötig, ein Tool zu verwenden, das dem Webserver vorspiegelt, beispielsweise Googlebot zu sein. Gute Dienste leistet hier das Utility Header Test, welches im Paket mit der Freeware Topsite ausgeliefert wird. Header Test führt einen Get-Request auf einen Webserver aus und übermittelt dabei eine manuell einstellbare User Agent ID, die beispielsweise für Googlebot Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html) lautet. Zum Test mit verschiedenen Suchmaschinen lesen Sie die genauen User Agent IDs am besten aus Einträgen in Ihren Server-Logfiles ab, um wirklich die exakte, aktuelle Bezeichnung zu verwenden. Das Tool speichert alle Daten, die es vom Webserver zurückbekommt, in eine lokale Datei. So können Sie diese dann bequem vergleichen mit dem, was Internet Explorer oder Firefox beim Aufruf derselben Seiten vom Server geliefert bekommt. Sind die Daten nicht identisch, ist das ein deutliches Alarmzeichen für Probleme.

Googles Matt Cutts gibt noch einen anderen Tipp, um solche Hacks zu erkennen: Übersetzen Sie Ihre Website mit Hilfe der Google-Sprachtools von Deutsch nach Deutsch – denn damit greift Google auf Ihre Website zu, liest den Content aus und gibt ihn übersetzt an den Browser zurück. Sie sehen damit also, wie Google Ihre Seiten sieht. Damit der Trick funktioniert, übersetzen Sie die gewünschte Seite zunächst ins Englische und verändern dann im URL den Parameter langpair=en%7Cde&hl=de in der Weise, dass Sie en gegen de austauschen und diesen neuen URL noch einmal aufrufen. Der Trick funktioniert allerdings nur so lange, bis sich Hacker die Mühe machen, auch diese Option zu verbauen. Eine absolute Sicherheit bietet diese Methode daher nicht.

Kommen Sie in eine Situation, bei der Sie vermuten, Suchmaschinen könnten Ärger machen, sollten Sie die Site lieber kurzzeiti
g beispielsweise per Passwortschutz vom Netz nehmen. Dann findet die Suchmaschine zwar gar nichts mehr – das ist aber zumindest vorübergehend weniger schädlich, als wegen Verstoßes gegen die Richtlinien aus dem Index zu fliegen.