Entfernung Ihrer Webseite aus dem Google Index – FAKE ALARM!

Heute Abend ist eine besonders unangenehme Mail bei uns eingetrudelt. Eine böse Mail vom „Google Search Quality Team“.

Eigentlich geht es darum, dass eine unserer grösseren Domains aus dem Google-Index gebannt werden sollte.

Eine mittlere Katastrophe – wenn es denn wahr wäre. Denn ich bin nicht umsonst der Skeptiker vom Dienst.

Die Domain ist rein und weiss wie kolumbianisches Kokain. Nur statische Seiten, und der Vorwurf, der in der Email gemacht wurde, stimmt absolut nicht. Eine Verwechslung? Server gehackt?

Der Text der Email ist nahezu 100% dem Original nachempfunden (s.u.). Dennoch gibt es einige Punkte, die mich stutzig gemacht haben.

Also, machen wir mal eine kleine Analyse:

  1. Absender der Mail ist DONOTREPLY@gmail.com
    – Seit wann verwendet google selbst gmail-Adressen?
    Wir hatten schon einmal eine mehr oder weniger berechtigte Anzeige der gleichen Art. Aber der Absender war „DONOTREPLY@google.com“, was für mich schon mal viel authentischer wirkt als eine gmail-Adresse.
  2. Der Passus „Anbei erhalten Sie ein Google Webmastertool um Ihre Seite erneut zu
    indexieren.“
    Ich hatte erwartet, dass eine .exe im Anhang zu finden ist, aber das war nicht der Fall. Seltsam, den Trojaner vergessen? (PS: „erweiterter Infinitif“ – Komma erfoderlich!)
  3. Die Mail wurde von einem Mailserver in der TZ 0600 versandt. UTC+0600 ist (grob gesagt) China, Russland, Indien. Werden solche Arbeiten bei google outgesourct? Mag sein… aber ein weiteres Indiz…
  4. Der Absender war über einen spanischen Dial-Up Provider eingewählt („auna.net“). Outsourcing? Waren wir gerade nicht noch in Indien oder so? Warum gerade Spanien, und nicht ein Drittweltland, wo die Arbeit billiger ist? Und soweit ich mich erinnere, befindet sich Spanien in der gleichen Zeitzone wie DE-Land. Technisch natürlich möglich, aber klingt nicht besonders sinnvoll.
  5. Trotz SpamAssassin einen Spam-Wert von -0.5. Aber, wenn man genau hinguckt, ist der Absender in zwei Blacklists gelistet…
  6. User-Agent: „Mozilla 4.7 [en] (Win98; I)“ – wer benutzt denn heute noch den über 10 Jahre alten Netscape 4.7? Und Win98? Neee….. oder?

Also, Fazit: Jemand wollte uns einschüchtern. Oder einen Trojaner unterjubeln, und hat vergessen, letzteren anzuhängen?

Also, ich persönlich werd heute nicht weniger ruhig schlafen als sonst.

Für den interessierten Leser die Mail im Original mit Headern, die Domain-in-question hab ich mal zensiert…

X-Account-Key: account2
Return-Path:
Delivered-To: service@mcgrip.de
Received: (qmail 12682 invoked from network); 9 May 2007 18:01:19 -0000
Received: from unknown ([80.67.18.1])
by morvan.ispgateway.de (qmail-ldap-1.03) with QMQP; 9 May 2007 18:01:19 -0000
Delivered-To: CLUSTERHOST mx01.ispgateway.de service@mcgrip.de
Received: (qmail 25052 invoked by alias); 9 May 2007 18:01:19 -0000
Delivered-To: webmaster@***DOMAIN***.de
X-Envelope-To: webmaster@***DOMAIN***.de
Received: (qmail 24756 invoked from network); 9 May 2007 18:01:19 -0000
X-Spam-Checker-Version: SpamAssassin 3.1.7 (2006-10-05) on
spamfilter16.ispgateway.de
X-Spam-Level:
X-Spam-Status: No, hits=-0.5 required=9999.0 tests=BAYES_00,FORGED_RCVD_HELO,
RCVD_IN_NJABL_DUL,RCVD_IN_PBL autolearn=disabled version=3.1.7
Received: from 50.red-82-158-194.user.auna.net (HELO gmail.com) ([82.158.194.50])
(envelope-sender )
by mx01.ispgateway.de (qmail-ldap-1.03) with SMTP
for ; 9 May 2007 18:01:17 -0000
Message-ID:
Date: Thu, 10 May 2007 00:52:55 +0600
From: „Google Search Quality DO NOT REPLY“
User-Agent: Mozilla 4.7 [en] (Win98; I)
MIME-Version: 1.0
To:
Subject: Entfernung Ihrer Webseite www.***DOMAIN***.de aus dem Google Index
Content-Type: text/plain;
charset=“ascii“
Content-Transfer-Encoding: 8bit

Sehr geehrter Seiteninhaber oder Webmaster der Domain www.***DOMAIN***.de,

bei der Indexierung Ihrer Webseiten mussten wir feststellen, dass auf
Ihrer Seite Techniken angewendet werden, die gegen unsere Richtlinien
verstossen. Sie finden diese Richtlinien unter folgender Webadresse:

http://www.google.de/webmasters/guidelines.html

Um die Qualitaet unserer Suchmaschine sicherzustellen, haben wir bestimmte
Webseiten zeitlich befristet aus unseren Suchergebnissen entfernt. Zurzeit
sind Seiten von www.***DOMAIN***.de fuer eine Entfernung ueber einen
Zeitraum von wenigstens 30 Tagen vorgesehen.

Wir haben auf Ihren Seiten insbesondere die Verwendung folgender Techniken
festgestellt:

*Seiten wie z. B. ***DOMAIN***.de, die zu Seiten wie z. B.
http://www.***DOMAIN***.de/index.htm mit Hilfe eines Redirects
weiterleiten, der nicht mit unseren Richtlinien konform ist.

Gerne wollen wir Ihre Seiten in unserem Index behalten. Wenn Sie wollen,,
dass Ihre Seiten wieder von uns akzeptiert werden, korrigieren oder
entfernen Sie bitte alle Seiten, die gegen unsere Richtlinien
verstossen. Wenn dies erfolgt ist, besuchen Sie bitte die folgende
Webadresse, um weitere Informationen zu erhalten und einen Antrag auf
Wiederaufnahme in unseren Suchindex zu stellen:

https://www.google.com/webmasters/sitemaps/reinclusion?hl=de

Anbei erhalten Sie ein Google Webmastertool um Ihre Seite erneut zu
indexieren.

Google Search Quality Team
Kopie an: webmaster@***DOMAIN***.de

Nachtrag: (10.05.2007, 14:10)
Soeben trudeln weitere solcher Mails ein. Der Spammer hatte beim ersten Mal tatsächlich den Trojaner für den Anhang vergessen, diesmal ist eine „google webmastertools.zip“ angehängt.

Manuel

Nachtrag:
Und fröhlich trudeln weitere E-Mails ein. Interessant, das Spammer inzwischen nicht nur Normaluser angreifen, sondern gezielt webmaster mit IT-Wissen bespammen.


Sebastian

15 Reaktionen zu “Entfernung Ihrer Webseite aus dem Google Index – FAKE ALARM!”

  1. jazznrhythm

    Ich habe das Ding heute auch bekommen. Spampal hat es sofort als Spam deklariert, der Inhalt war mit deinem identisch, es hing auch ein ZIP-File drin und ich kann aktuell noch nicht so ganz nachvollziehen, was das soll. Ich sehe mich wegen Google sowieso zu keiner Handlung verpflichtet, insofern ist mir das weitgehend schnuppe, was die da schreiben. Ob mir das so unrecht wäre, wenn ich dort nicht gelistet wäre, das weiß ich nicht mal :-). Halte den ganzen Vorgang aber für ein Hoax.

  2. Andreas Osswald

    Vielen Dank für das Posting, ich hab die Mail selbst eben erhalten und bin dabei 10 Jahre älter geworden. Der ZIP/EXE-Anhang kam mir dennoch seltsam vor, weshalb ich hier im BLOG diese Info gefunden haben.

    Nochmals vielen Dank.
    mfg
    Andreas Osswald

  3. M.Hirsch

    Bei uns kommen inzwischen auch noch mehr solcher Mails an. Auch auf Abakus habe ich vorhin eine Diskussion zum Thema gefunden. Wir sind nicht alleine mit diesem „Problem“.

    Die ZIP-Datei habe ich nicht weiter analysiert, wird aber vermutlich ein „handelsüblicher“ Loader sein, der den Trojaner von irgendeinem gecrackten Webserver nachlädt.

  4. Jazznrhythms Ecke » Google Hoax?

    […] Entfernung Ihrer Webseite aus dem Google Index Entfernung Ihrer Webseite aus dem Google Index – FAKE ALARM! Entfernung Ihrer Webseite http://www.kallewirsch.de aus dem Google Index Entfernung Ihrer Webseite http://www.xxx.de aus dem Google Index – jetzt mit Anhang […]

  5. Markus

    Habe gerade auch dieselbe identische Mail erhalten, mit zip-File und gleichem Wortlaut. Wurde zunächst stutzig, weil ich in der betreffenden Website ein Redirect per .htaccess verwendet habe, aber der zip-Anhang ist nun wirklich ein eindeutiges Indiz für einen Virus/Trojaner/Spam etc. Google wird mit Sicherheit keine exe-Dateien verschicken, damit man eine Site neu anmelden kann. Mit etwas Sachverstand sollte das auch jedem logisch erscheinen…
    Mfg
    Markus

  6. service

    Inzwischen ist klar.
    Es handelt sich wohl um einen Scherz eines deutschen SEOs, der leider noch nicht bekannt ist. Hinweise bitte hier posten.
    Es muss jemand sein, der gut programmieren kann und über ein größeres Botnetz verfügt um dailup Verbindungen aus der ganzen Welt zum versenden zu verwenden.

    Öffnet man die zip Datei und benennt die .exe in .txt findet man folgenden Scherz: cmd.exe c\:clear complete harddisc

    lool

    führt man die google webmastertools.exe (unter Windows XP) aus kommt folgende Windows Fehlermeldung:
    16 Bit-MS-DOS-Teilsystem
    C:\DOKUME~\user\GOOGLE~1.EXE
    Die NTVDM-CPU hat einen ungültigen Befehl entdeckt.
    CS:06d5 IP:0100 OP:63 6d 64 2e 65 Klicken Sie auf „Schließen“, um die Anwendung zu beenden.

    Google wird sich über einige Webmaster, die den Reinclusion ausgeführt haben freuen und einige Webmaster darüber ärgern, dass sie sich gegenüber Google gläsern gemacht haben ๐Ÿ˜‰

    Wenigstens sind jetzt viele Webmaster gewarnt und wissen, dass es sich um einen Scherz handelt, so dass es spätere echte Virenanhänge wesentlich schwerer haben sollten.

  7. Webdesign

    Was sich manche Leute für einen Mist einfallen lassen, das ist mir völlig unklar. Ich selbst bekomme am Tag rund 400 Spam-Mails, die jeden Tag immer wieder gleich sind. Ich frage mich was das den Leuten bringt, so solch einen Müll versenden.

  8. Alexander Ewering

    Ich frage mich sowieso, wieso ueberhaupt noch jemand E-Mail verwendet, vor allem fuer ernsthafte und wichtige Geschaeftskontakte (Kundenaquisition etc.), wo es doch xx-mail gibt etc…

  9. Andras Wehner

    Jetzt wird es gerade von irgendeinem Miniaturschweine. de versendet

  10. Henning

    Vielen Dank. Hab das bei einer Domain auch bekommen. Und zwar ohne Anhang, war deshalb verunsichert.

  11. oliverg

    Bissi Klugscheiss:
    a) Infititiv (alte und neue RS)
    b) Komma nach den neuen Regeln beim erweiterten Infinitiv nur noch unter bestimmten etwas esoterischen Bedingungen NÖTIG. Erlaubt auch nach der RSR bleibt er beim EI immer noch und empfehlen würd ich ihn auch ๐Ÿ˜‰

    & danke für den Artikel ๐Ÿ˜‰

  12. assbach

    gut zu wissen, ich hatte mich schon gewundert aber auch nicht an spam gedacht. danke für die info.

  13. Jรถrn Sieveneck

    Habe auch schon mehrere dieser Mails erhalten und mir auch schon gedacht, dass das ein FAKE ist.. ätzend, haben die Leute nichts anderes zu tun?

  14. Hubert

    Sind schon witzig die Spammer klingt aber sehr authentisch was da drin steht und ohne Anhang habe ich diese Mail 4 mal hintereinander bekommen.
    Bei der ersten hab ich ja noch gedacht “ OK hast vielleicht einen Fehler gemacht“ aber dann mit den darauffolgenden 3 Mail bin ich skeptisch geworden. Und siehe da gezielte suche und hier bin ich nun.

    Danke aber für den super Blog hier

  15. Henning

    @oliverg
    Jaja, Infititiv… tststs! ๐Ÿ™‚