bituniverse.com

[Musicman]

Hallo zusammen!

Vor einigen Tagen ist mir ein geändertes und unerwartetes Verhalten bei Google aufgefallen, dass für mich in AkteX gehört. Vielleicht hat ja jemand von Euch eine Erklärung oder etwas ähnliches festgestellt.

Ich beziehe mich auf die Google-Suchoption "site:domäne.de", die alle von Google zur Domäne "domäne.de" indexierten Seiten auflisten soll. Ich habe nun festgestellt, dass dort nun Dateien auftauchen, die von nirgendwo her verlinkt sind, natürlich auch selbst keine Links enthalten. Beispielsweise hatte ich in einem Test-Verzeichnis eine Testdatei (*.php) und die hat Google irgendwie gefunden, obwohl von nirgendwo ein Link auf das Verzeichnis oder gar die Datei verweist. Teilweise findet Google bei mir jetzt so auch Skripte, die mit "include" in andere Dateien eingebunden werden. Der wiedergegebene Inhalt entspricht dann der PHP-Fehlermeldung, die entsteht, wenn dieser Code-Schnippsel einfach so aufgerufen wird. Ich habe meine Sitemap überprüft; diese enthält definitiv die verflixten Dateien nicht. Auch liefert der Server beim Aufruf nur der Verzeichnisse Code 404, listet also die enthaltenen Dateien nicht.

Ich frage mich also, woher kennt Google solche Verzeichnisse und die darin befindlichen Dateien. M.E. bekommt Google die PHP-Teile der Webseiten doch nicht zu sehen, also auch nicht die Include-Aufrufe, so dass sie diese Links nicht verfolgen kann. In mit .htaccess geschützte Verzeichnisse kommt Google jedoch (bisher) nicht hinein.

Ich sehe hier ein Sicherheitsproblem. Denn was Google kann, können andere womöglich auch. Und durch Analyse der Include-Schnippsel könnte u.U. auch eine Sicherheitslücke (Spamversand...?) aufgedeckt werden, denn aus den Fehlermeldungen kann man sicher gewisse Rückschlüsse ziehen.

Habt Ihr ähnliches bemerkt oder eine Erklärung?

Mir ist das jedenfalls sehr suspekt.

Viele Grüße

Musicman

[M]

Generell sollten natürlich Verzeichnisse, die sensible Dateien beinhalten, die nur an anderer Stelle includiert werden durch htaccess geschützt werden oder direkt außerhalb des doc roots liegen.
Dann kannst du natürlich noch per robots.txt den Zugriff auf bestimmte Verzeichnisse "verbieten". Google sollte das beachten, ein Angreifer könnte daraus aber wohl eher noch die Info erhalten, wo sensible Dateien liegen könnten. Die robots.txt ist ja nur eine Empfehlung, an die sich aber alle seriösen Spider halten sollten.

Aber zum eigentlichen Problem.
Bist du dir sicher, dass von nirgendwo ein Link auf diese Dateien existiert? Das du keinen gesetzt hast, heißt ja nicht unbedingt, dass es nicht vielleicht jemand anders getan hat.
Google ist hier allerdings auch kein geeignetes Werkzeug um das herauszufinden, da link:domain keine zuverlässigen Werte liefert.
Hier weichst du am besten mal auf Yahoo oder so aus.
Wenn sich da keine Links auf die Scripte finden lassen, ist das allerdings ein merkwürdiges Verhalten, dessen Grund mich auch sehr interessieren würde.

[Musicman]

Hallo M,

danke für den Tipp. Yahoo findet tatsächlich mehr Seiten, aber nur "echte", also Seiten, die gefunden werden sollen. Man hat das schnell im Blick, weil die Include-Skripte keine Titelzeilen haben, die angezeigt werden könnten.

Ich bin ganz sicher der einzige, der die Verzeichnisstruktur und die Dateien kennt. Außer mir kennt keiner das Serverpasswort und ich bin auch der einzige, der an der Vereinsseite arbeitet.

Die robots.txt habe ich bisher nicht genutzt, nur den Meta-Tag "robots", den aber ganz konsequent, wobei dieser Tag natürlich in den Include-Schnipseln fehlt.

So ganz grundsätzlich habe ich während der letzten Monate an der fraglichen Homepage nichts wesentliches verändert, nur hin und wieder einen Text. Das beschriebene Verhalten habe ich jedoch erst diese Woche bemerkt. Meine Sitemap habe ich seit einigen Monaten nicht verändert, wozu auch. Ob das Google gestört hat?

[Simon W.]

Wenn kurzzeitig der PHP-Parser ausfällt, oder eine index-Datei fehlte und dadurch eine Verzeichnis-Auflistung abgegriffen werden konnte, wäre es denkbar, dass eben auch nicht verlinkte Dateien in der Suchmaschine landen.

[Gast]

Daran hatte ich auch schon gedacht. Aber aufgrund des Verhaltens der Google-Bots sollten sie während einer solchen Phase nicht gleich ca. 8-10 Dateien "erwischen". Aber mal sehen, wie es weiter geht. Vielleicht verschwinden die Dateien ja auch wieder aus der Google-Liste.