Referrer Spam

Seit einigen Tagen tauchen bei vielen Seitenbetreibern etwas merkwürdige Referrer in den Webanalyse Tools auf. Unter anderem von http://forum.*.darodar.com. Wird diese URL von interessierten Seitenbetreibern aufgerufen landen sie aber nicht auf der Domain darodar.com sondern werden auf irgendwelche Online Shops weitergeleitet, zum Beispiel auch auf amazon. Für denjenigen, dem dieses Phänomen recht neu ist, ist das alles erstmal sehr seltsam und viele paranoid angehauchte Seitenbetreiber denken direkt das Schlimmste.

Nun gut, bringen wir hier etwas Licht ins Dunkel…

Worum handelt es sich hier?

Wenn wir uns die Referrer URL einmal genauer anschauen und beim Aufruf eben dieser einen HTTP Proxy mitlaufen lassen, stellen wir sehr schnell fest, dass auf der eigentlichen Referrer URL http://forum.*.darodar.com eine Weiterleitung liegt. In meinem Fall was es ein simpler META Refresh mit dem Zeit-Wert 0. Weitergeleitet wurde wie schon oben erwähnt auf amazon. Schauen wir uns die amazon URL genauer an finden wir eine REF ID. Es handelt sich also um einen amazon Affiliate Link über den ein Click Cookie auf dem Rechner platziert wird.

Referrer Spam in Google Analytics

Referrer Spam in Google Analytics

Was soll das ganze?

Nun ja, was passiert hier? Interessierte Seitenbetreiber begeben sich auf die Suche nach dem merkwürdigen Referrer und erhalten via Redirect ein Affiliate Cookie eines sehr grossen Online-Händlers und da ja nun mal Weihnachten ist, ist die Chance das irgendjemand dieser Seitenbetreiber, der sich das Cookie eingefangen hat dann auch bei dem grossen Online-Händler bestellt relativ gross. Der Verursacher dieses merkwürdigen Referrers würde bei erfolgreicher Conversion die Affiliate Provision kassieren.

Wir haben es hier quasi mit einer Kombination von zwei etwas dunkel angehauchter Methoden zu tun:

  • Referrer Spam
  • Cookie Dropping

Und da diese Methoden höchstwahrscheinlich auf eine extrem grosse Masse angewandt werden, könnte das ganze saisonal-bedingt auch recht lukrativ sein. Weiterhin ist nicht davon auszugehen, dass diese Art von Referrer Spam dazu benutzt wird um irgendeine Art von Blackhat SEO zu betreiben. Dazu wäre ja erforderlich, dass auf den betroffenen Seiten eine Art Referrer Ranking publiziert wird.

Wie schütze ich mich gegen Referrer Spam?

Auf den ersten Blick könnte man annehmen, dass es sich um Bot Traffic mit gefakten Referrer handelt. Und dieser lässt sich via htaccess relativ schnell aussperren.

1
2
3
4
SetEnvIfNoCase Referer darodar.com spamlink=yes
Order allow,deny
Allow from all
Deny from env=spamlink

Einfach diese Zeilen in das .htaccess kopieren und zack wäre Ruhe vor diesem Referer. Ein passendes Tool zur Generierung von htaccess Code existiert auch: http://tools.dynamicdrive.com/userban/

Abhilfe könnte auch eine Rewrite Rule schaffen:

1
2
3
4
5
RewriteEngine on
RewriteCond %{HTTP_REFERER} darodar.com/ [NC,OR]
RewriteCond %{HTTP_REFERER} ^http://.*other-spam.com/ [NC,OR]
RewriteCond %{HTTP_REFERER} ^http://.*more-other-spam.com/ [NC]
RewriteRule ^(.*)$ – [F,L]

Oder auch ein IP Block via htaccess:

1
2
3
order allow,deny
deny from 78.110.60.230
allow from all

Hierüber lassen sich ganze IP Ranges oder sogar ganze GEO Bereiche sperren.

Aber leider liegt der Fall hier etwas anders…

Mir ist aufgefallen, dass in einem älteren Webanalyse Account, der nicht mehr eingebunden ist ebenfalls dieser Referrer auftaucht. Aber wie kann das sein, Traffic in einem Webanalyse Tool, bei dem der JavaScript Code seit einigen Wochen nicht mehr eingebunden ist?
Es liegt hier der Verdacht nahe, dass jemand Monate im vorraus im grossen Stil Seiten abgecrawlt hat und eben die Webanalyse Codes abgegriffen hat. Denn hier kommt dann die dritte etwas dunkel angehauchte Methode ins Spiel: Blackhat Analytics.

Die Webanalyse Tools benutzen einen JavaScript Code, der einfach global in Seiten eingebunden wird und dann Daten von der Seite in das Tool pumpt. Aber es sagt ja keiner, dass dieser Code eben nur auf dieser Seite eingebunden werden muss. Da dieser Code für jeden Menschen öffentlich im Source Code einsehbar ist, kann ich mir eben diesen abgreifen und von extern Daten in das Webanayse Tool pumpen. Und das funktioniert ja nicht nur für Page Views sondern lässt sich zum Beispiel auch für Conversions benutzen… Aber das nur am Rande 😉 Zurück zum Thema: Hier wurde also eben dieser Code abgegriffen und dann für den Referer Spam von extern verwendet.

Und nun, was kann ich gegen diesen Referrer Spam tun?

Bis dato ist der einzige Zweck dieser ganzen Geschichte Cookies bei Seitenbetreibern zu droppen. Dagegen kannst Du Dich schützen, in dem Du einfach diese URL nicht aufrufst. Alles andere versaut Dir einfach nur die Webanalyse Daten.
Aber auch hier soll es Hilfe für Dich geben. Google Analytics bietet Dir die Funktion Bot und Spider Traffic in der Ansicht herauszufiltern und diese Einstellung soll hier helfen. Ihr findet die Einstellung unter „Verwalten > Datenansicht > Einstellungen der Datenansicht“

Referrer Spam - Bot Filter

Referrer Spam – Bot Filter

Update 23.12.2014:
Bei mir hat dieses Setzen des Bot & Spider Filters leider keinen gewünschten Erfolg gebracht. Die Daten tauchen auch in den neueren Webanalyse Auswertungen auf und das Schlimmste ist, dass der Traffic steigt…

Ich werde auf einigen Projekten nun ein zweites Analyse Tool ( http://piwik.org/) parallel aufschalten.

Update 27.12.2014:
Die Weihnachtszeit ist vorbei und wie zu erwarten auch der Referrer Spam. Warten wir auf das nächste Jahr. Im Übrigen war Piwik von den Referrern komplett befreit, wodurch sich meine Annahme quasi bestätigt, dass das Webanalyse Snippet vorher gescrapped wurde und dann von extern ausgeführt wurde. Vielleicht schreibe ich hier mal ein Posting zu diesen Blackhat Analytics Methoden…

Jan Berens ist seit über 12 Jahren im Online Marketing tätig und schreibt auf seinem Blog www.janberens.de über aktuelle Online Marketing Themen und die Technischen Details dahinter. Zu seinen Stationen in den 12 Jahren gehören unter anderem die Fliks GmbH, die ad-cons GmbH und die douglas Holding. Jan Berens ist Speaker auf zahlreichen SEO Stammtischen und Online Marketing Events und hält Vorträge und Workshops zu den Themen "Technical SEO" und "Tracking Methoden".





2 Comments

  1. Antworten
    Christian | Messerblock und Magnetleiste 26. Dezember 2014

    Vielen Dank für den informativen Artikel. Ich habe gerade auf Messerblock-und-Magnetleiste (Domain gerade mal ca. einen Monat alt) genau das gleiche Problem. Sehr viele Referrer von darodar und iloveitaly… Bouncerate natürlich bei 100%. Wirklich ärgerlich.

    Ich frage mich ob Google an diesem Problem schon arbeitet und Analytics ggf. anpassen wird.

    Viele Grüße und einen guten Rutsch schonmal,
    Christian

  2. Antworten
    Thomas Symann 17. Januar 2016

    Hallo Jan,

    letzten Monat hatte ich auch wieder unnormal viel Spam in meinen GA-Accounts. Daraufhin habe ich nicht nur deinen Artikel gefunden sondern selbst noch viel dazu ausprobiert.

    Die GA-Funktion „Bots herausfiltern“ hinkt leider zeitlich lange hinterher. Soweit ich informiert bin, nutzt Google selbst dazu nur eine externe Liste von iab.com. Und bis die aktualisiert wird ist der Spam eh schon in den Berichten :-/

    Mir ist aber aufgefallen, dass der Spam in den Berichten immer fremde Domains oder (not set) als Hostname hat. Und dazu habe ich mir dann einfach einen Filter in GA gebaut, der nur noch meinen eigenen Hostnamen zulässt. So habe ich das jetzt seit einer Woche online und seit dem keinen einzigen Spam-Eintrag mehr 🙂

    Schau mal, ob das bei dir auch funktioniert. Würde mich dann über Feedback freuen 😉

    http://devr.cc/de/referrer-spam-und-ghost-traffic-in-google-analytics-ausschliessen/

    Gruß,
    Thomas

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *