Blog kopiert, geklont und geklaut – was kann ich dagegen tun?

Blog kopiert, geklont und geklaut – was kann ich dagegen tun?

Unser Blog wurde kopiert, einfach 1:1 gespiegelt und geklont. Statt “niedblog.de” tauchte plötzlich ein Blog mit selbem Namen und identischen Inhalten unter “niedblog.com” auf, auf den ersten Blick wirkte die Webseite völlig identisch – doch ein genauerer Blick zeigte kleine Veränderungen: Im Impressum wurde meine Telefonnummer verändert und die Emailadresse wurde auf die neue Domainendung angepasst.


Zunächst einmal:

Wie kann ich prüfen ob auch mein Blog kopiert wurde?

Die schnellste Methode für eine erste oberflächliche Prüfung ist die Abfrage unter Checkdomain. Bisher wurden in den aktuellen Fällen stets auch die Blog- und Domainnamen ohne Änderungen übernommen, aus “www.toller-reiseblog.de” wurde also “www.toller-reiseblog.com” oder “www.toller-reiseblog.net”. Es empfiehlt sich also bei CHECKDOMAIN die Top20 Domains mit eurem Blognamen abzufragen. Tauchen Registrierungen auf, die nicht von euch durchgeführt wurden, so werft einen Blick direkt auf die Webseite.

Die Seite zeigt euren eigenen Blog, obwohl ihr damit nichts zu tun habt? Dann wurde auch euer Blog geklont und kopiert. Sollte zwar eine Registrierung vorliegen, jedoch bei Aufruf der Domain eine Meldung erscheinen, dass die Domain zunächst “bei Godaddy geparkt wurde”, so besteht zumindest ein Anfangsverdacht. Es scheint, als würden diese Blogs auf der “To do Liste” stehen und in Kürze ebenfalls mit Leben gefüllt werden.

Domainsuche bei Checkdomain: Wurde dein Blog kopiert?

Domainsuche bei Checkdomain: Wurde dein Blog kopiert?

Die ersten Schritte, falls dein Blog kopiert wurde

Bei uns brachte ein Blick in die Whois Abfrage erstaunliche Informationen zum Vorschein: Die Domain wurde beim Anbieter GoDaddy aus den USA auf meinen Namen und unter meiner Postanschrift registriert. Offenbar ungeprüft lässt GoDaddy also Domain-Registrierungen zu, von denen die als Domaininhaber angegebene Person gar keine Kenntnis erlangt. Eine weitere Recherche zeigte nun, dass unser Originalblog über eine deutsche IP Adresse gespiegelt wird, die in den Kundenstamm des Anbieters Leaseweb GmbH fällt.

Unsere ersten Schritten waren also folgerichtig Emails mit allen relevanten Informationen an abuse@godaddy.com und abuse@leaseweb.com, um die missbräuchlichen Seiteninhalte und die nicht autorisierte Domainregistrierung schnellstmöglich zu löschen. Zudem haben wir die falschen Whois-Daten über das “Invalid Whois” Formular gemeldet. Unmittelbar danach rief ich bei beiden Unternehmen auch telefonisch an, die sich jedoch zunächst als “nicht zuständig” bezeichneten, mich jedoch baten die beiden vorgenannten Emailadressen für eine entsprechende Nachricht zu benutzen. Eine Antwort würde dann in der Regel nach 24 Stunden erfolgen. Nach nunmehr 96 Stunden bleibt jedwede Reaktion aus.

Falsche Whois Angaben des Blogklons bei GoDaddy melden

Falsche Whois Angaben des Blogklons bei GoDaddy melden

Update von Leaseweb, Verweis auf Cloudfare

Update: Leaseweb hat nun geantwortet: “Die Website “http://www.niedblog.com/” wird derzeit unter der IP “104.28.8.69” gehostet. Diese untersteht CloudFlare, Inc. (AS13335). Sie müssten sich bitte direkt mit der Abuse Abteilung von Cloudflare in Verbindung setzen.” Cloudflare ist eigentlich zum Selbstschutz gedacht, wurde hier jedoch genutzt, um den Host zu verschleiern. Ein DMCA Complaint bei Cloudfare kann hierüber erfolgen

WICHTIG: Macht unbedingt Screenshots der nicht autorisierten Klonseite (insbesondere auch vom geänderten Impressum) und sichert diese Beweise auf eurer Festplatte – das schadet auf keinen Fall für spätere Schritte! Mit diesen Beweisen empfiehlt sich eine Strafanzeige gegen Unbekannt bei der örtlichen Polizeidienststelle (in vielen Bundesländern auch online möglich). Damit habt ihr gute Argumente, sollte es später zu Haftungsansprüchen aus dem Missbrauch gegen euch kommen. Betroffene Blogger haben sich mittlerweile in einer eigenen Facebook Gruppe zusammengeschlossen, um aktuelle Entwicklungen und neue Informationen auszutauschen.

Wie kann ich den Missbrauch meines Blogs unterbinden?

Es gibt verschiedene Ansätze, den missbräuchlichen Klon-Blog auszusperren. Einige Betroffene haben über ihren Hoster die abgrasenden IP Adressen sperren lassen, was jedoch meist nur temporäre Wirkung entfalten kann. Der kopierte Fake-Blog taucht kurz darauf über eine andere IP-Adresse wieder auf, somit ist dies nur ein kleiner Schritt, es den Fakern ein bisschen schwerer zu machen. Empfehlenswert ist die Übermittlung einer abgeänderten HTML Datei, die dem Fake-Blog übermittelt wird und fortan auf allen Seiten angezeigt wird (Beispiel: www.niedblog.com). Eine Erklärung hierzu im Detail:

Zuerst findet man die IP Adresse heraus von der gespiegelt wird, dazu erstellt man eine PHP Datei auf dem eigenen Server, in der folgendes drinsteht:
ipadresse

Bei niedblog wäre das zum Beispiel diese: https://niedblog.de/spiegel.php, nun ruft man die Datei einfach über die geklaute Webseite auf, also http://www.niedblog.com/spiegel.php und schon hat man die IP Adresse. Dabei kommen die Angreifer nicht an die originalen Quelldateien auf dem Server, er spiegelt einfach nur jeden Request. Diese IP kann man nun nach Wahl entweder sperren oder umleiten, wobei Laien bitte auf die Hilfe eines fachkundigen Helfers zurückgreifen. Die Sperrung erfolgt recht einfach auf diesem Wege.

IP Range sperren und Fakeblog damit abschießen

Mit order allow / deny könnte man die komplete IP Range sperren: Sofern immer wieder IP Adressen des selben Providers genutzt werden, könnte man diesen auch erstmal über .htaccess ganz ausschließen. Per Umleitung in der index.php von WordPress haben wir auf dem NIEDblog-Klon (“.com”) die aktuelle Warnmeldung auf allen Unterseiten geschaltet, das könnte auch für andere Blogger eine Idee sein. Lösungsansätze über Scripte schlagen derweil fehl, da diese automatisch herausgefiltert werden. So sperrt ihr die komplette IP Range von Leaseweb, von deren IP Adressen derzeit die Mehrheit der Zugriffe ausgeht:

Eintrag in der .htaccess:
order allow,deny
deny from 178.162.128.0/17
allow from all

Lustigerweise werden auch die 403 Fehlermeldungen auf der Klonseite ausgeworfen, womit ihr die Fälschung zumindest vorübergehend ins Nirvana befördert. Auch hier natürlich der Hinweis, dass diese Maßnahme nur temporär Wirkung entfalten könnte. Bisher wurden die benutzten IPs jedoch nicht gewechselt (z.B. über TOR), was zumindest kurzfristig für “Entlastung” sorgt.

Missbrauchsmeldung auf der gefälschten NIEDblog Seite

Von uns erstellte Warnmeldung auf der gefälschten NIEDblog Seite

Zudem empfehle ich einen sogenannten Change Request beim Provider durchzuführen, also zu versuchen, den kopierten Fake-Blog zu übernehmen. Dieser Vorgang läuft in der Regel über ein Formular (bei GoDaddy z.B. hier) und erfordert die Verifizierung über echte Ausweisdokumente. Das Prozedere kann bis zu 5 Tage dauern, im positiven Fall habt ihr jedoch anschließend die “Macht” über die missbräuchliche Domain und damit auch die Kontrolle darüber, was unter dieser Domain angezeigt werden soll. Alternativ kann ein sogenannter DMCA Takedown angestoßen werden, wobei der Prozess eines DMCA Complaints ebenfalls recht langwierig sein kann. Weitere Informationen auf Englisch findet ihr hier: http://www.devtopics.com/how-to-file-a-dmca-complaint/

Was steckt dahinter? Warum machen “die” das überhaupt?

Das ist noch nicht mit aller Sicherheit zu sagen, es deutet sich jedoch an, dass selbstverständlich finanzielle Interessen dahinterstehen. Bei einigen kopierten Blogs taucht mittlerweile Werbung auf der Klon-Variante auf, bereits 2013 wurde ein großes Netzwerk aus China aufgedeckt. Dieses Netzwerk hat über Tausende Domains Affiliate-Betrug betrieben, es könnte auch dieses Mal in eine ähnliche Richtung gehen.

Sollte auf eurem Blog-Klon also Werbung auftauchen, die bei eurem Original-Blog nicht vorhanden ist, kann auch dies ein Ansatzpunkt sein. Wenn ihr mit der Maus über diese Werbung fahrt, seht ihr sowohl das Affiliate- oder Werbeprogramm (z.B. Google Adsense, Zanox, Affilinet, Belboon) und die dazugehörige Affiliate-ID. Mit dieser Kennung könnt ihr Kontakt zum Anbieter aufnehmen und eine entsprechende Sperrung wegen missbräuchlicher Verwendung beantragen.

Auf der Klonseite taucht plötzlich Bannerwerbung auf (Verpixelung durch uns vorgenommen)

Auf der Klonseite taucht plötzlich Bannerwerbung auf (Verpixelung durch uns vorgenommen)

Update: Nach Rücksprache mit verschiedenen Affiliate-Netzwerken verhärtet sich dieser Verdacht. Die Anmeldungen wurden meist auf die selben FAKE-Daten durchgeführt, die auch im Klon-Blog-Impressum auftauchen. Eine Bankverbindung wurde noch nicht hinterlegt, dies wird wohl vermutlich erst kurz vor der Auszahlung geschehen. Zudem zeigen erste Stichproben, dass die unrechtmäßigen Anmeldungen von deutschen IPs durchgeführt wurden und auch tatsächlich bereits Auszahlungsbeträge vorhanden sind (woher auch immer der Traffic gekommen ist). Betroffene sollten sich daher unbedingt auch an die jeweiligen Affiliate-Netzwerke wenden! Bei Zanox erfolgt dies bitte an networkwatch@zanox.com, bei Tradedoubler zunächst an publisher.de@tradedoubler.com!

Welche und wieviele Blogs sind bisher betroffen?

Über die Anzahl der Opfer lässt sich bisher keine verlässliche Angabe machen, aktuell gibt es wohl mindestens 150 bestätigte Fälle. Es ist jedoch davon auszugehen, dass die Zahl eventuell sogar im vierstelligen Bereich liegt, da die Dunkelziffer noch sehr hoch sein dürfte. Nahezu minütlich entdecken Blogger durch die aktuelle Berichterstattung, dass sie selbst betroffen sind, ohne es bisher bemerkt zu haben. Neben www.niedblog.de zählen zum Beispiel www.koeln-format.de, www.sonne-wolken.de, www.rooksack.de sowie viele weitere Blogs zu den Betroffenen. Offenbar gibt es dabei keinen Fokus auf bestimmte Branchen und Themenbereiche, neben zahlreichen Reiseblogs hören wir auch von diversen Fällen aus anderen Communities.

Zusammenfassung auf einen Blick

  • Zahlreiche Blogs sind von unerlaubten Kopien und Spiegelungen betroffen
  • Ausmaß, Hintergrund und Zweck der rechtswidrigen Aktivitäten sind noch weitgehend unklar
  • Betroffene haben sich in einer Facebook Gruppe versammelt
  • Screenshots machen, Beweise sichern und die beteiligten Provider/Hoster per Abuse-Meldung informieren -> hier gibt es einen Textvorschlag auf Englisch
  • Strafanzeige bei der Polizei stellen, um gegen spätere Haftungsansprüche durch den Missbrauch zu schützen -> hier habt ihr einen Textentwurf als Vorlage
  • IP Adressen / IP Range der Angreifer ausschließen und damit die Klonseite abschießen

Zuletzt vermehrt Hack-Attacken auf WordPress-Blogs

Wer auf seinem Blog ein Plugin wie “Limit Login Attempts” installiert hat, wird es vermutlich auch schon gemerkt haben: in den letzten Wochen sind die ständigen Einbruchsversuche wieder merklich angestiegen. Von Haus aus bietet WordPress keinen Schutz gegen Brute-Force-Attacken, daher sind solche Blogs ein beliebtes Angriffsziel. Mit Hilfe von Bots wird dabei versucht, das Zugangspasswort zum Backend des Blogs zu erraten.

Doch nicht nur die normale Login-Funktion bietet eine Angriffsfläche. Auch Fehler in Themes oder Plugins können dazu führen, dass sich Unbefugte Zugriff zum eigenen Blog verschaffen. Es ist daher elementar wichtig, seine Webseite jederzeit bestmöglich abzusichern. Schließlich benutzen Hacker gekaperte Blogs gerne zum Verbreiten von Malware oder zum Versenden von Spammails.

Man sollte daher einerseits versuchen, die wichtigsten Sicherheitsmaßnahmen, die einen Hack verhindern sollen, umzusetzen. Andererseits besteht niemals eine hundertprozentige Sicherheit, daher ist es wichtig, regelmäßig zu prüfen, ob nicht vielleicht doch ein Hack stattgefunden hat. Dieser Artikel [LINK] beleuchtet beide Aspekte: es werden zum einen die wichtigsten Absicherungsmaßnahmen besprochen als auch Hinweise gegeben, wie man einen bereits stattgefundenen Hack der eigenen Webseite erkennen kann.


Aktuelle Updates und Fortschritte

Unser Klonblog ist gegenwärtig offline bzw. nicht erreichbar. Bei der angestrebten Übernahme der Fake-Domain wurde uns von GoDaddy mitgeteilt, dass die Klon-Domain derzeit “expired” (abgelaufen) ist. Dennoch können wir die nicht autorisierte Domain wohl übernehmen, wofür wir zunächst einen Godaddy Account anlegen mussten. Zum jetzigen Zeitpunkt wurden mindestens fünf Strafanzeigen gegen Unbekannt gestellt, wir raten Betroffenen weiterhin, diesen Schritt zu gehen. Dies ist vor allem wichtig, falls in eurem Namen über die Fake-Domain oder andere Wege illegale Aktivitäten stattfinden, die später auf euch zurückfallen könnten.

Solange die betroffenen Domains in den falschen Händen sind, können jederzeit neue Probleme auftauchen. Und weiterhin gibt es unzählige Fake-Blogs, die unverändert live geschaltet sind. Der Kampf ist noch nicht beendet! 😉

Update 20.08.2014, 20:01: Wir haben die Kontrolle der Fakedomain übernommen und arbeiten nun im Hintergrund an der technischen Auswertung. Was für Emails gehen ein? Was für Links wurden gesetzt? Wo kommt möglicherweise Traffic her? Für den Moment steht aber eines im Fokus: FREUDE! Und dennoch helfen wir allen Betroffenen aktiv weiter, die aufgrund abweichender Personendaten bei der Registrierung keine Chance auf einen “Change Request” zur Übernahme der eigenen Klondomain haben.

Auszug aus dem gefälschten Account im Amazon Partnernet

Auszug aus dem gefälschten Account im Amazon Partnernet

Update 27.08.2014, 20:01: Wir haben nun tatsächlich diverse Mails von Affiliate-Netzwerken abgefangen, die an die hinterlegte Mailadresse unseres Blogklons gingen. Durch die “Passwort vergessen” Funktion konnten wir uns sogar einloggen, wobei alle Accounts noch im Frühstadium waren: Bewerbungen für unzählige Firmen-Partnerprogramme, aber noch keine aktive Einbindung oder gar Provisionseinnahmen. Mit einer Ausnahme:

Ein Account beim Amazon Partnernet wurde auf meinen Namen angelegt und zeigt über 31.000 Klicks im Zeitraum 01. August bis 15. August, die wiederum zu über 550 Bestellungen mit über 12.000 EUR Umsatz aus allen erdenklichen Themenbereichen führten. Der Auszahlungsbetrag von knapp 700 EUR steht bereit, das Konto wurde jedoch für zukünftige Einnahmen gesperrt. Wir vermuten, dass diese Einnahmen über rechtswidrige Betrugsaktivitäten zustande kamen, zum Beispiel über illegales Cookie-Dropping. Andererseits ist die Konversionsrate von über 1,5% dafür zu hoch, wenn man die Cookie-Laufzeit von nur 24h bei Amazon bedenkt.

Eine entsprechende Anfrage an Amazon blieb zunächst unbeantwortet.

Update 19.02.2015, 12:33: Noch immer gibt es täglich Meldung über neue Duplikate und Klonblogs. Die Vorgehensweise ist unverändert dreist und rechtswidrig, jedoch werden nun konsequent Fake-Daten für die Registrierung benutzt bzw. Datensätze, die offenbar von unwissenden Dritten aus dem Internet zusammenkopiert werden. Es zeigt sich deutlich, dass viele Hoster und Provider gar kein Interesse daran haben, die Identität ihrer Kunden zu verifizieren, sodass Registrierungen mit Fake-Daten problemlos möglich sind. Dieses Vorgehen macht vor allem die Übernahme der geklonten Blogs nahezu unmöglich, dennoch ist das oben geschilderte “Aussperren” nach wie vor eine Option.

Es zeigt sich in den letzten Monaten, dass die deutschen Strafverfolgungsbehörden keine Handhabe gefunden haben, sie sind zumeist bereits technisch mit dem Sachverhalt überfordert. Dennoch empfehlen wir, die Verstöße weiterhin zur Anzeige zu bringen – nicht zuletzt auch zum Eigenschutz. Wir alle wissen nicht, wann das Fass doch überläuft und geschädigte Dritte rechtliche Schritte einleiten, bei denen der Verdacht auch auf die Betreiber der Originalblogs fallen könnte. Erfreulicherweise gibt es auch Ausnahmen unter den Hostern, bei manchen Kollegen hat ein deutlicher (aber freundlicher) Abuse-Hinweis tatsächlich gewirkt.

Wir wünschen allen Betroffenen starke Nerven und viel Erfolg! (wird aktualisiert)

40 Kommentare

  1. 11. Mai 2016 / 16:08

    Danke für den sehr hilfreichen Artikel. Unser Blog war gleich mehrfach betroffen. Nach mehrmaliger Korrespondenz mit den Hostern wurde dann alles abgeschalten. Danach wurde unser Blog mehrfach gehackt und alle Dateien mit Schadcode verseucht. Seit einiger Zeit verwenden wir das (äußerst hilfreiche) Plugin “Better Security” – seitdem sehen wir täglich gescheiterte Login-Versuche. Dieses (kostenlose) Plugin bietet eine Vielzahl von Sicherheitsmaßnahmen. Kann ich wirklich nur empfehlen. LG Nina

  2. 19. Dezember 2015 / 08:46

    Und jetzt bin ich wohl dran. Sie nutzen eine Subdomain auf someget dot com und ich bin extrem genervt. Ich werde mal versuchen deine Anleitung hier abzuarbeiten, aber das Wochenende hatte ich mir irgendwie anders vorgestellt. 🙁
    Gruß, Max von fortgefahren.tv

  3. 14. September 2015 / 18:04

    Ich habe deinen Artikel gefunden, da ich insofern betroffen bin, als das eine Webseite nicht meinen vollständigen Blog übernommen hat, dafür aber neben anderen Posts meine vollständigen Posts der letzten 3 Monate. Die Seite nennt sich magazine-womens.com und unter der Kategorie ‘Lipstick’ findet man sämtliche Posts von mir. Ich arbeite mit Blogger.com und weiß gerade überhaupt nicht weiter bzw. wie ich das ganze Stoppen und herausnehmen kann. Über die Whois Seite habe ich sämtliche Daten bekommen, soll ich jetzt erst einmal direkt eine Email senden und dann darauf hoffen, dass meine Posts entfernt werden???

  4. 11. September 2015 / 19:28

    Danke für die ausführlichen Infos! Meinen Blog hat es heute auch “erwischt” und ich versuche jetzt alles, die Klone Seite vom Netzt zu bekommen, auch wenn ich dafür grad überhaupt keine Energie habe…

  5. shadownlight
    9. August 2015 / 20:43

    ich bedanke mich ganz herzlich für den tollen artikel. mein blog wurde 1:1 kopiert. ich habe natürlich erst den webhoster kontaktiert und hoffe der copy blog wird bald gelöscht, aber zu aller vorsicht habe ich die weiteren schritte ausgeführt auf dem klon wird nun, danke eurer tipps, die seite als klon angezeigt und zu mir weiter geleitet.
    liebe grüße!

  6. Lilli
    10. Mai 2015 / 07:00

    Toller und hilfreicher Artikel, danke. Stosse zum ersten Mal auf dieses Thema, aber meine Blog-Geschichte fängt ja grade erst an. Ein ganz grosser Dank an Euch für die ausführliche Beschreibung und Reaktionshinweise.
    Von Lilli, der abenteuerlustigen Vollzeitnomadin.

  7. 21. April 2015 / 23:29

    Danke für die wertvollen Hinweise. Auch wenn dadurch kein direkter Schaden entsteht, sollte man dabei nicht ganz außer Acht lassen, daß man eventuell von den Suchmaschinen (doppelter Content) abgestraft wird. Das aber nur ganz nebenbei.

  8. 17. Februar 2015 / 11:58

    Erfreuliche Nachricht: Ich hatte den in der USA sitzenden Provider mit folgendem Text angeschrieben und nun ist die geklonte Seite schon offline!
    Vielleich ist auch für andere der Textbaustein hilfreich:
    URGENT: Domain _________ illegally clones blog
    Dear Sir or Madam,
    We would like to bring to your attention that the domain _________ illegally clones our blog http://www.untersegeln.eu/ and we kindly request that the domain be blocked and the relevant site taken offline. The registrant contact information indicated at sailingtour.n e t website and in the domain registry is fake, making it impossible at this stage to identify the registrant and make a direct contact.
    Please see information on the domain query copied below.

    As this represents a serious infringement of intellectual property rights, legal action is being considered.

    We thank you in advance for your prompt attention to this matter and remain

    with best regards,
    Markus

  9. 13. Februar 2015 / 19:29

    Vielen Dank für diesen super informativen Artikel. Seit gerade eben weiß ich: Auch ich bin betroffen. Ohjeohje. Auf gehts in den Kampf.

  10. 12. Januar 2015 / 12:45

    Danke, Alex, für diese umfangreiche Hilfestellung!

    Ich dachte nie, dass auch mein kleiner Reiseblog http://ReiseFreak.de erwischt würde, aber nun ist das der Fall. Die Whois-Angaben der Parasiten-Domain reisefreakly.c** deuten auf einen deutschen Betreiber hin. Wer’s glaubt!

    Als erste Maßnahme habe ich Deinen Tipp mit der htaccess-Datei durchgeführt und dann den Hoster des Parasiten-Accounts wegen Löschung angeschrieben.
    Mal sehen, wie’s weiter geht.

    Danke nochmals!

  11. 21. November 2014 / 15:36

    Mein Blog http://www.einfachbewusst.de ist ebenfalls betroffen.

    Ich habe bereits Strafanzeige erstattet und versuche nun die Fake-Seite vom Netz nehmen zu lassen. Nachdem bereits erste Einträge bei Google vorhanden sind, versuche ich auch diese zu löschen.

    Vielen Dank für die zahlreichen Tipps hier.

    Beste Grüße

    Christof

  12. 8. Oktober 2014 / 08:41

    Hallo Alex.

    Vielen, vielen Dank für deinen ausführlichen Text. Ich habe erst vor kurzem entdeckt, dass mein Blog auch einen Blogklon hat. Mein Kopf explodiert gerade vor Wissen, das ich nicht verarbeiten kann. Der Blogklon ist mal über IP Sperre blockiert worden und die Seite ist seit mittlerweile 3 Tagen offline. Ich habe mich mit Godaddy in Verbindung gesetzt und warte nun auf eine Antwort.

  13. 1. Oktober 2014 / 14:48

    Huhu Alex,
    danke für diesen ausführlichen Artikel und die super Anleitung. Nachdem ich den Artikel bereits im August gelesen hatte und ich froh war nicht betroffen zu sein, gab es inzwischen doch einen Klon. Dank deiner Anleitung und der Hilfe eines Tekkis konnte ich den Klon aussperren!

    TAUSEND DANK!
    Steven

  14. 11. September 2014 / 07:08

    Vielen Dank für die Hilfe und Unterstützung! In meinem Fall ist es jetzt kein Blog, sondern eine (alte) Kopie meiner Website stefanie-leschkus.de. Ich hatte die .com-Seite zwar mal gehostet und sie doch dann wieder freigegeben, weil ich dachte, ich brauche sie nicht. Und jetzt – wie ich letzte Woche festgestellt habe – ist sie belegt.

  15. Nasti
    27. August 2014 / 13:59

    Wie ist es denn eigentlich mit Blogs, die keine eigene Domain, sondern eine wordpress-Adresse haben?

    • Alex
      Autor
      27. August 2014 / 15:12

      Da wird es erheblich schwieriger, weil du wenig Eingriffe vornehmen kannst, um das Spiegeln zu unterbinden.

  16. Markus
    26. August 2014 / 22:39

    Hallo Zusammen,
    mal eine vielleicht blöde naive Frage:
    Bei der Spiegelung werden doch die Daten meiner Seite ausgelesen und dies erfolgt nicht über einen Browser meiner Kenntnis nach. Also würde doch die Prüfung nach dem Browser reichen. Wenn kein Browser ermittelt werden kann, dann stoppe ich die weitere Ausführung meines Skriptes.
    Habe dazu folgendes bei mir eingeführt zum Test und die Seite läßt sich damit nicht mehr auslesen bzw. spiegeln:
    if( empty($_SERVER[‘HTTP_USER_AGENT’]) ) { echo ‘Unerlaubte Spiegelung der Seite’; exit; }
    Habe ich da einen Denkfehler?

  17. 25. August 2014 / 07:38

    Geht dieser Unsinn schon wieder los? Mich hat es mal vor ca. zwei Jahren erwischt. Damals noch irgendein Script-Kid ohne eigene Ideen, aber mit viel unbedarfter Energie. In meinem Fall hat ein simpler Anruf genügt und der Klon war weg. Diese Typen halten sich für so clever und hinterlassen doch jede Menge Spuren. Ich hatte seine Nummer einfach über ein recht bekanntes Blackhatforum rausgefunden, weil er zuvor ein BH-Tool kostenlos abstauben wollte und dafür seine Kontaktdaten postete 🙂

  18. 25. August 2014 / 06:30

    Hallo und danke für diesen umfassenden und informativen Artikel. Viele Grüße Steffi

  19. 24. August 2014 / 09:06

    Koennte man nicht bei Google die Deindexierung der Fake-Domain beantragen? Dann haetten sie keinen Traffic mehr und Schwupps erledigt. Ich weiss nicht, ob das geht bei Google, waere aber cool!
    Oder uebersehe ich da was?

  20. 21. August 2014 / 14:08

    obwohl schon öfters kopiert aktuell glücklicherweise nicht dabei.

  21. 21. August 2014 / 13:14

    Gute erklärung um ein wenig gegen diese art von Diebbstahl vorzugehen.
    Danke hierfür.
    Was noch helfen kann um einen gekaperten Blog aufzuspüren ist z.b. (entschuldige die eventuelle Schleichwerbung) http://www.copyscape.com
    (nein ich verdiene an dem Link nichts und habe auch nichts damit zu tun.) 🙂

    Aber mit der Seite kann man duplicate content aufspüren und das kostenlos ohne Abo etc.

    Ob das bei geklauten Blogs auch klappt weiss ich zwar nicht, aber es ist mal ein versuch wert.
    Auf jedenfall werde ich meine Blogs nun noch besser im Auge behalten.

  22. 21. August 2014 / 10:29

    Das erinnert mich an den Gizliweb – Proxy von ~2006. Der hat auch die Webseite 1:1 gespiegelt. Mit welchem UserAgent werden denn die Aufrufe ausgeführt? Bietet das einen Anhaltspunkt um den Proxy zu sperren?

  23. 21. August 2014 / 08:24

    Danke für diesen Artikel und die Hilfe. Mein kleines privates Blog ist zwar aktuell nicht betroffen, aber ich werde in Zukunft darauf achten.

  24. 20. August 2014 / 20:47

    Hi,

    danke für den Beitrag. Schlimme Sache das ganze. Böse wirds wenn dann Abmahnungen von Firmen kommen, wie z.B. bei Caschys Blog.

  25. 20. August 2014 / 18:40

    Hi Alex,
    danke schön für diesen wunderbaren Beitrag. Habe gerade entdeckt, dass mein Blog auch geklaut wurde und folge nun Deinen Anweisungen.

    Was ich nicht verstanden habe: wie hast Du das mit “von uns erstellte Warnmeldung auf der gefälschten NIEDblog Seite” gemacht? In welcher Datei mache ich das?
    Falls es eine dumme Frage ist, dann sorry dafür.

    • Alex
      Autor
      20. August 2014 / 17:53

      Da bei der Fakedomain unsere echten Personendaten inkl. echter Anschrift verwendet wurden, habe ich einen Change Request bei Godaddy gestellt. Es sollte also klappen, dass ich zeitnah die Kontrolle über die Fakedomain übernehme. Alljenen Betroffenen, deren Fakedomains auch unter Fakenamen/Adressen laufen, ist damit natürlich nicht geholfen, da GoDaddy hier die Übernahme verweigert. Daher vielen Dank für den Hinweis!

      • Datafreak
        20. August 2014 / 18:09

        Wenn du GoDaddy kontaktierst, dann können Sie dir antworten oder nicht.
        Der ICANN müssen Sie aber Antworten, sonst verlieren sie ihre Acreditierung und damit alle ihre Domains.
        Und glaub mir, dass der ICANN Antworten ist Aufwand der keinen Spaß macht. Auch wird das nur eine kleine Gruppe in der Firma machen.

        Daher wird GoDaddy bei zu vielen Beschwerden schnell was unternehmen.

  26. Someone
    20. August 2014 / 17:00

    Wenn das JS komplett gefiltert wird, könnte man auch in jede Seite den großen STOP-Banner oder so einbauen, und diesen dan via JS ausblender, oder?

  27. Julian
    20. August 2014 / 14:41

    Zu Wie kann ich den Missbrauch meines Blogs unterbinden?

    Dort sagst du ” echo $_SERVER[‘REMOTE_ADDR’]”.
    Das gibt dir aber die IP des Clints aus, also deine IP.
    Man brauch doch aber die IP des Servers oder nicht?

    Das wäre dann ” echo $_SERVER[‘SERVER_ADDR’]”. Am besten lässt man sich die ganze Super Globale ausgeben “echo ”; var_dump($_SERVER); echo ” “;

    • Alex
      Autor
      20. August 2014 / 15:34

      Da die Klonseite auch diesen Request ausführt, wird die abgrasende IP angezeigt (nicht die eigene), sofern man den Befehl auf der gegnerischen Domain ausführt.

  28. 20. August 2014 / 14:39

    Mir kam gerade nur die Idee – evtl. eine … Alternative:

    Leider habe ich keine Möglichkeit das zu testen.
    Nur statt IPs abzufragen würde ich die Aufgerufene Domain abfragen.
    Und wenn die != der orignal Domäne ist – sollte es ein Fehler geben.

    Für ein Test von jemand anderem Würde ich mich sehr freuen.

    • Alex
      Autor
      20. August 2014 / 15:29

      Das dürfte ja eigentlich nur per javascript funktionieren und das wird nunmal herausgefiltert.

      • Marcus
        21. August 2014 / 08:55

        Aber könnte man des nicht umdrehen? Sprich auf dem eigenen Server ein Javascript laufen lassen, welches einen Initial-Inhalt (STOP oder so) durch den eigentlichen Inhalt ersetzt. Also wenn der Klon-Server den Initial-Inhalt kopiert, aber kein Javascript ausführt, so dürfte es doch nur Schrott anzeigen. Problem wäre dann aber sicherlich was die Suchmaschinen mit dem Inhalt machen 🙁 …

  29. 19. August 2014 / 11:27

    Danke für diese wertvollen Informationen – ist ja quasi ein White Paper, mit dem man sich sofort an die Rettung machen kann. Hoffentlich passiert das mir nicht mal …

    Ich werde dieses Seite auf jeden Fall als Bookmark behalten, denn man weiss nie und auch Kunden kann es ja immer treffen.

    Es ist nicht selbstverständlich, dass Sie sich hier die Mühe machen, anderen Hilfen an die Hand zu geben – deshalb nochmals mein grösster Dank!

    Michael Marheine

  30. 18. August 2014 / 16:59

    Interessante Geschichte und tolle Arbeit mit der Weiterleitung.
    Wie aber tatsächlich in so kurzer Zeit auszahlungsrelevante Werbeeinnahmen generiert wurde ist mir aber ein Rätsel.

    – mh

    • Hans R.
      22. August 2014 / 11:03

      Ich habe das selbe Problem es werden Werbung von Google eingeblendet und gehostet wird es bei mediaon.com ich habe nun an Google und den Webhoster mediaon eine Email geschickt mal sehen was sich tun wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.