W ostatnich dniach przytrafiają mi się niesamowite historie. Przykładowo ostatnio znalazłem (bardzo przypadkowo) kopię mojej strony na bardzo podobnie brzmiącej domenie „manfelds.com” był to cały mój blog i wszystkie podstrony. Dodatkowo, ktoś zadał sobie trud by przepisywać w treści mój adres e-mail:

Lustrzana kopia strony.

Wizualnie, różnica polegała na tym, że po wejściu nie działały zdjęcia. Ktoś nie ogarniał jak działa prawdziwy CDN lub nie chciał kopiować zdjęć. To nie była wykonana raz kopia – duplikaty strony były generowane w locie i cache’owane. Zorientowałem się kiedy wszedłem na wyszukiwarkę lub dodawałem query-stringi (np. ?123) do adresów URL. Domena została zarejestrowana 14 dni wstecz od momentu mojego wykrycia (celowo nie powiem jak ją odkryłem – zapraszam na ewentualne konsultacje).

Im więcej kopii na świecie, tym silniejsza jest moc oryginału.

Olga Tokarczuk

W sumie, jak tak na chłodno pomyśleć, żadna szkoda mi się nie działa, ale nie chciałem aby roboty wyszukiwarki były w jakikolwiek sposób „zakłopotane” widząc kopię mojej strony na domenie .com. Co prawda, moja domena ma większy autorytet i istnieje małe prawdopodobieństwo, że taka kopia mogłaby mi w jakikolwiek sposób zaszkodzić, pod kątem SEO lub wizerunkowym – ba, takie plagiaty nawet pomagają – ale nie chciałem tego niepotrzebnie przeciągać.

Krok 1: Usuwanie duplikatu naszej strony z indeksu

Okazało się, że strona jest już zaindeksowana:

Zaindeksowana strona spoofingowa w Google

W tym momencie zdałem sobie sprawę, że całe te algorytmy są jednak naiwne i bezmyślne. Przecież wyszukiwarka mogła mieć jakieś algorytmiczne zabezpieczenie przed tworzeniem stron spoofingowych. To nie pierwszy raz kiedy zgłaszałem kopię dlatego miałem wprawę – wcześniej usuwałem strony jakichś agencji interaktywnych i SEO, które bezmyślnie kradły moje teksty metodą kopiuj-wklej.

Przechodzimy na stronę: https://support.google.com/legal/troubleshooter/1114905?hl=en

Wybieramy Google Search i zgłaszamy żądanie usunięcia strony z indeksu – to nam załatwia wszelkie potencjalne problemy związane z SEO. Wpisujemy adres strony spoofingowej i własnej w odpowiednich rubrykach. Google może bardzo łatwo zweryfikować kto jest oryginalnym autorem treści na podstawie stażu danych treści w indeksie.

Na stronie: https://www.google.com/webmasters/tools/legal-removal-dashboard?hl=en&pid=0&complaint_type=1

można śledzić postęp działań.

Removal Dashboard – Web Search

2. Blokowanie skryptu kopiującego stronę

Następnie warto byłoby zapobiec dalszemu kopiowaniu. Ustaliłem, że ktoś wykorzystuje prostą aplikację, która na dodatek podmienia niektóre treści np. adres e-mail. Postanowiłem stworzyć pułapkę – specjalną stronę która pokazuje adres IP serwera przechwytujące treść. Do strony z szablonem wyszukiwarki wordpress search.php dodałem instrukcję odpowiedzialną za pokazywanie adresu odwiedzjącego.

echo $_SERVER['REMOTE_ADDR'];

Wchodząc na stronę „manfelds.com” i dokonując przypadkowego szukania otrzymałem zkeszowany adres IP serwera atakującego. Wprowadziłem w .htaccess blokadę tego adresu:

Deny from 123.123.123.123

Kiedy ponownie próbowałem wyszukać jakąś unikalną frazę otrzymałem błąd 403 – to w tym momencie zorientowałem się że autor tego „psikusa” to totalny amator, bo jeżeli już robimy takie rzeczy to trzeba robić to dobrze – z maskowaniem adresu IP. Dla tego konkretnego adresu przekierowałem stronę błędu 403 do strony noob.html, w której krótko napisałem autorowi co sądzę o jego umiejętnościach.

3. Blokowanie serwerów back-end i front-end

Wpisałem zhakowany przeze mnie IP na stronie i odkryłem, że jest to adres IP serwera AWS z lokalizacją w Niemczech. Napisałem raport o naruszeniu na adres supportu od spraw „abuse”.

Sprawdzając adres IP samej domeny otrzymywaliśmy adresy Cloudflare. Napisałem o naruszeniu także supportowi Cloudflare z żądaniem natychmiastowego zdjęcia strony.

4. Próba zablokowania spoofingowej domeny

Przyszedł czas na domenę – jest to trudne ale czemu nie spróbować. We WHOIS odkryłem kto jest rejestratorem domeny. Dane abonenta były ukryte – uważam, że w tych czasach nie powinno być to możliwe. Napisałem na support rejestratora domeny, że ktoś wykonuje spoofing mojej strony.

Efekty działań

Najszybciej zareagował support AWS, który ustalił że jest to instancja EC2 i wyłączył aplikację. Strona już nie pokazywała strony „I’m noob” ale pokazywał się błąd time-out.

Cloudflare nadal był aktywny co uświadomiło mi, że pomimo że Cloudflare psuje SEO, jego wykorzystywanie na stronie może mieć sens pod kątem dostępności i bezpieczeństwa. Przykładowo kiedy hosting w wyniku jakiegoś błędu wyłączy nam stronę (hostingi współdzielone robią to dość regularnie) nasza strona nadal działa jakby nigdy nic.

Po przeszło 24 godzinach, strona została zablokowana:

Informacja o zablokowaniu strony.

Podsumowanie

Sam kiedyś wykonałem taki skrypt dla zabawy kiedy poznawałem podstawy PHP – po kilku minutach go wyłączyłem. Nie wiem po co ktoś rejestrował podobną domenę i zadał sobie trud by przepisywać adres e-mail. W sumie, nawet mi to trochę schlebia, że ktoś się próbował pode mnie podszywać i celowo do tego celu zarejestrował domenę.

Mam nadzieję, że przy okazji opisania tej ciekawej historii nauczyłem paru nowych rzeczy i technik radzenia sobie z podobnymi atakami. Mojemu fanowi życzę powodzenia i wytrwałości w dalszych próbach tworzenia takich kopii – być może będzie okazja do napisania kolejnego ciekawego artykułu.

Oceń artykuł na temat: Ktoś skopiował stronę – jak zareagować?
Średnia : 4.9 , Maksymalnie : 5 , Głosów : 12