Typo3 Hack Geschichte einer Webseite
Die Webseite verschwand Seite für Seite aus dem Googleindex, der Traffic brach entsprechend zusammen.
Der Umzug auf einen neuen Server mit einer neuen Typo3-Installation unter Übernahme der alten Daten brachte keine Besserung. Google wollte die Seite nicht indizieren. Mit der Anfrage site:domain.tld wurde lediglich ein PDF als indiziert gemeldet.
Die Durchsicht des html-Quellcodes gab keinerlei Hinweise, die Performance der Seite war mit 580 Millisekunden nicht rekordverdächtig, für eine Typo3-Migration aber ganz in Ordnung.
Die Einrichtung von Google-Webmastertools brachte den entscheidenden Hinweis. Die Webmastertools zeigten regelmäßige Besuche des googlebots an, die Performance der Seite war jedoch laut Webmastertools mit 12.8 Sekunden (!) unerträglich schlecht.
Daraufhin untersuchten wir die Seite darauf, ob der Googlebot vielleicht etwas anderes ausgeliefert bekommt als der normale Besucher. Die erste Vermutung war, dass der Googlebot eventuell die ungecachte Seite zu sehen bekäme, was die unerträlichen Downloadzeiten erklären würde.
Das Ergebnis war ein Volltreffer: Mit einem normalen UserAgent abgerufen lieferte die Seite in vernünftiger Zeit den korrekten Inhalt. Wenn man als UserAgent jedoch den des Googlebots verwendete, bekam man als Antwort eine Weiterleitung (301) auf eine Spam-Doorwaypage. Die anschließende händische Durchsicht der Logfiles (Auszug aus den Logfiles) bestätigte das Ergebnis: War der UserAgent ein Googlebot, fand sich im Logfile der Server-Code 301.
Sinn dieses Hacks war es offensichtlich, die externe Verlinkung der Seite für andere Webseiten zu nutzen, ohne dieses dem Besitzer der Seite sichtbar zu machen.
Die Folge für den Besitzer war der vollständige Verlust seiner Präsenz in den Suchergebnissen von Google.
Bisher nicht geklärt ist, ob dieser Fehler durch einen erneuten Angriff wieder implementiert wurde, oder ob der Fehler die Neumigration unbeschadet überstanden hat.