So mancher Webworker dürfte sich über einen Referrer gewundert haben, der seit einem guten Vierteljahr durch die Serverlogs geistert.

Aktuell trägt der dahinter stehende Bot als Referrer bei seinen Seitenbesuchen, die anonym über Anonymisierer wie Proxy-Dienste oder das Tor-Netz erfolgen,  den Textstring „AfD-Verbotsverfahren JETZT!“ ein.

Auf den ersten Blick sieht das nach Referrer-Spam von politischen Aktivisten aus. So etwas in der Art vermutet auch Heise in einem Artkel von Jan Bundesmann, der im letzten Herbst zu Beginn dieser Anti-AFD-Kampagne über Referrer veröffentlicht wurde. Auch bei kratzenberg.de findet man zum Thema nur viele Fäkalwörter, aber wenig Erhellendes zum Sinn des Referrer-Spams.

Referrer-Spam für eine Handvoll Admins?

Was da passierte, wurde zwar von vielen erkannt, aber der Sinn hinter politischen Botschaften wie Wer AfD waehlt, waehlt Weidel. Wer Weidel waehlt, waehlt den Krieg.oder aktuell „AfD-Verbotsverfahren JETZT!“ im Log eines Webservers wollte sich den Autoren der genannten Artikel nicht wirklich erschließen.

Denn dort werden die Statements ja eigentlich nur von Server-Admins oder Mitarbeitern der Website-Pflege gesehen – in den meisten Fällen sieht sie sogar niemand, denn die wenigsten Betreiber von Webseiten schauen sich regelmäßig ihre Apache-Logs an.

Deshalb soll hier kurz erklärt werden, wozu die Referrer-Einträge letztlich wirklich genutzt werden.

Wer einfach nur im Internet surft, sieht die Referrer ja gar nicht. Im Gegensatz zu den als politisch motiviert anerkannten Hacks z.B. der Syrian Cyber Army und anderer Polit-Aktivisten defacen die Hintermänner bei dieser Aktion die Webseiten nicht.

So gesehen ist die Zielgruppe, die den Spam direkt sieht, enorm klein und man könnte sich nach dem Sinn für den ganzen Aufwand fragen.

Eine nicht wirklich unsinnige Kampagne

Wer die Referrer aber aus diesen Überlegungen heraus als harmlosen und sinnlos eingesetzten Spam betrachtet, hat nicht genau genug hingeschaut. Denn im Vergleich zu diesen Referrer-Bots sind die bekannten Twitter-Bots ja schon fast primitiv zu nennen.

So sieht es zumindest Marius vom Braunschweiger Blog und zeigt auf, wofür die Referrer wirklich genutzt werden und wie sie ihre Macht entfalten.

Wie die Begriffe Google als Keywords untergejubelt werden

Ziel der Aktion war es sicher nicht, einer sehr kleinen Handvoll Server-Admins über die Serverlogs politische Hassbotschaften unter die Augen kommen zu lassen. Das eigentliche Ziel dieser noch laufenden Aktion ist es nämlich, die Hassparolen bei Google unterzubringen und hoch zu ranken.

„Wie soll das gehen? Google kennt die Referrer doch gar nicht?“, würden sich hier die meisten Fachleute fragen. Und damit sind wir beim genialen Teil der Masche:

Die Hintermänner nutzen dafür aus, dass die meisten Internetserver auf gemietetem Webspace bei den wenigen großen Hostern aufsetzen, die die Apache-Logdaten durch Analyse-Programme wie z.B. Webalizer fertig analysiert und optisch aufbereitet zur Verfügung stellen.

Diese Daten werden bei weit über 90 Prozent der deutschen Webserver in Verzeichnissen wie „/usage/“, „/webstat/“ oder „/webstatistiken/“ vorgehalten – die URLs sind also bei den meisten Servern vorhersagbar. Und die Referrer (meist “Verweise” genannt), gehören auch zu diesen Daten…

Ein Zugriffsschutz ist bei den meisten Statistikausgaben auch nicht aktiv, denn die Statistiken sind ja gut geeignet, um beispielsweise Werbekunden zu beeindrucken – oder aber die Admins haben sich einfach keine Gedanken über eine solche “Nebensache” gemacht – die Logs sind ja schließlich auch anonymisiert.

Deshalb können die Hintermänner der Aktion auf irgendeiner eigenen Internetseite Links auf die Statistik-URLs der Server, die ihr Bot vorher besucht und mit Referrer-Spam versehen hat, untereinander schreiben und Google dann auffordern, ihre eigene Seite neu zu indizieren – und damit gibt es auf einmal Abertausende Internetseiten, die die Hassbotschaften nach oben ranken.

Wenn man heute die aktuelle Hassbotschaft „AfD-Verbotsverfahren JETZT!“ bei Google eingibt, gibt die Suchmaschine satte 530.000 Ergebnisse aus – das Ziel der Angreifer ist erreicht!