Sonntag, 21. Dezember 2014

semalt spoof

sicher ist es dem einem oder anderem webmaster bereits aufgefallen, dass sich seit ein paar monaten Einträge in den logfiles wiederfinden, die so oder ähnlich lauten:

semalt.semalt.com
buttons-for-website.com
make-money-online.7makemoneyonline.com
...

die liste lässt sich fortsetzen.

was steckt dahinter?  nun, folgt man den einträgen und steuert z.b. die domain semalt.com an, so landet man offenbar auf der seite eines anbieters für website-analyse-dienste, also z.b. ähnlich googles analytics. manch einer ist vielleicht versucht, in die lockende box "enter url:" die des eigenen projektes einzutragen.



offenbar emsig geht das tool zu werke und präsentiert nach etwa 30 sekunden einen popup, der nahe legt, sich doch zu registrieren, um an die ergebnisse des soeben durchgeführten scans zu gelangen, kostenlos, natürlich...


harmlos, könnte man meinen, leicht zu durchschauen, da sammelt jemand daten oder versucht im besten fall gar wirklich einen service zu verkaufen. dahinter stecken aber offensichtlich andere machenschaften:

"semalt kapert hunderttausende computer um referrer-spam-kampagnen durchzuführen."


solche und ähnliche headlines finden sich mittlerweile mehrfach im netz und legen nahe, dass die sich hinter der fassade semalt.com versteckenden betreiber kriminelle machenschaften nicht scheuen.

ich will an dieser stelle nicht näher auf die mechanismen des referrer-spams oder der infiltration hunderttausender rechner mittels "soundfrost" eingehen. wichtig für den webmaster ist zu wissen, dass semalt.com & co in betrügerischer absicht rechner infiziert, um daraus einen vorteil zu generieren. die einzig richtige reaktion auf diese machenschaften ist das blocken der fraglichen domains, z.b. mittels .htaccess.

dazu finden sich mittlerweile reichlich anweisungen im netz, die ohne weiteres übernommen und an die eigenen bedürfnisse angepasst werden können. ein beispiel für den aussschluss der domain und subdomains von semalt sei hier angeführt:

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://([^.]+\.)*semalt\.com [NC]
RewriteRule ^(.*)$ – [F,
L]


ich empfehle folgende artikel:
http://www.incapsula.com/blog/semalt-botnet-spam.html. 
http://www.infosecurity-magazine.com/news/semalt-hijacks-hundreds-of
http://www.website-go.com/artikel/block-buttons-for-website.php

Kommentare:

  1. Danke für die Info aber wie blockiert man den hier:

    buttons-for-website.com

    da habe ich noch keine funktionierende Lösung gefunden.

    AntwortenLöschen
    Antworten
    1. dazu findest du infos in diesem artikel:

      http://www.website-go.com/artikel/block-buttons-for-website.php

      Löschen