SEO BlackOut, Référencement Black Hat SEO

Le spam des referers est une technique utilisée par de nombreux spammeurs, je sais que certains de mes lecteurs sont fans de liens (de backlinks) faciles et surtout de liens issus de sites en .edu et .gov.

Je vous propose donc une requête vous permettant de trouver des milliers de liens, des centaines de liens edu et quelques liens en .gov

Bien sûr l’astuce est connue des spammeurs donc vous ne serez pas seuls sur ces pages présentant les referers. Ici je vise les sites utilisant webalizer, un script de statistiques.

Certains webmaster laissent ces pages accessibles au public et donc laissent une porte ouverte aux spammeurs de referers puisque ces pages affichent des liens en durs vers les referers et sont indexées par Google.

Voici les requêtes sur Google pour trouver ce type de page :

(Lire la suite…)

Les captchas antispam basés sur les questions et ou les calculs, ne sont pas fiables, ces captchas sont facilement contournables (lisez cet article jusqu’au bout pour comprendre comment contourner ces captchas à tous les coups).

Prenons au hasard , l’exemple de Matt Cutts (l’homme antispam de Google) qui utilise un capcha très simple à contourner sur son blog Wordpress : http://www.mattcutts.com/blog/.

Son script de captcha est basé sur des opérations de calcul arithmétique, euh pardon, des additions uniquement.
Edition du 14 janvier : En fait, Matt Cutts utilise le plugin pour wordpress : “math comment spam protection”, ce plugin est donc vulnérable.

L’exemple de script ci-dessous est basé sur ce plugin qui est utilisé sur le site de Matt Cutts au pied de chaque article.

Voici donc comment bypasser / passer les captchas basés sur des calculs arithmétiques :

(Lire la suite…)

Comment outrepasser / bypasser les codes captchas antispam (en dehors des solutions OCR) ?

Le but de passer des captchas est bien sûr le spam de commentaires de blogs, de sites web…, le spam des guestbooks, l’inscription automatique sur des sites web… Il existe 3 façons pour bypasser les codes captchas antispam :

1 - Traitement OCR (Optical Character Recognition) = Reconnaissance optique de caractères.

2 - Faire traiter ces captchas par des internautes à leur insu.

3 - Passer par les failles présentes sur ces captchas (XSS, CSRF, sessions non fermées, captchas en clairs dans code source, captchas encodés en MD5 dans le source, captchas dont les différentes combinaisons sont connues/limitées et donc listables…).

Je suis tombé sur plusieurs articles intéressants, le premier est l’article ou plus précisement le script d’un hackeur nommé G-Brain qui propose une solution PHP (utilise les fonctions de la librairie GD) pour bypasser les captchas.

Le script est en téléchargement ici : http://g-brain.sesoyo.com/code/captchapwn-php.txt. Le script n’est pas au point mais prouve que sa méthode fonctionne.

Le second article : http://websecurity.com.ua/category/mobic/ présente une série de failles de sécurité (XSS, CSRF…) permettant de bypasser des captchas couramment utilisés, 32 captchas bypassés au total.

Voici quelques exemples de failles trouvées par cet auteur dont je salue l’excellent travail au passage (Good job man for mobic and moseb ! ) :

(Lire la suite…)

Les spammeurs utilisent Google et plus précisement le bouton submit “j’ai de la chance” pour rediriger des visiteurs vers des sites spammy tout en leur faisant croire qu’ils cliquent sur un lien de confiance : Google.

Exemple :

Imaginons que je souhaite spammer mes abonnés newsletter avec des liens vers des sites spammy, si j’insère mes liens tels quels dans mon texte, mon mail risque d’être filtré par les logiciels antispam… D’autre part, le lecteur pourra facilement voir que je souhaite le rediriger vers un site spammy en regardant l’url qui s’affiche au survol de la souris dans la barre d’etat.

(Lire la suite…)

Ce script PHP permet d’ajouter automatiquement une page web à vos favoris sur Del.icio.us à l’aide de Curl et en utilisant l’api de Del.icio.us.

(Lire la suite…)

Spammer les top visites, top votes…

L’idée vient de Pagetronic, webmaster du site Footballistique, site sur le football, vous l’aurez compris , merci à lui pour le partage de cette astuce et l’autorisation de la diffuser publiquement.

De quoi s’agit-il ?

De nombreux annuaires et autres sites possèdent un classement de sites par votes, par visites… Le but est d’augmenter artificiellement ces statistiques et d’apparaitre en haut de ces pages afin de bénéficier de linking supplémentaire bien sûr mais aussi de traffic, de visiteurs supplémentaires vers vos sites web.

Comment ?

Tout simplement en insérant une image invisible dans une page ou plusieurs pages souvent visitées de vos différents sites web qui contient comme source l’url de la page cible, c’est à dire l’url de la page qui enregistre le vote ou la visite.

Exemple :

Imaginons que mon site soit inscrit dans plusieurs annuaires dont certains sont des annuaires basés sur le script FreeGlobes. Ce script FreeGlobes, qui est un excellent script d’annuaire en php, propose l’affichage des sites les plus visités et les mieux notés par un système de votes.

Si je veux voir mon site dans les top votes de cet annuaire, il suffit d’afficher le code source et de fouiller un peu dans le fichier nommé utils.js (javascripts) pour touver la fonction vote et donc l’url qui va incrémenter le vote, exemple : http://demo.freeglobes.net/vote.php?id=45

L’id correspond à l’id du site enregistré dans l’annuaire à modifier par le votre (ici l’id 45 correspond au site google.fr).

Ensuite il suffit de créer une image de 0 pixel sur 0 pixel que l’on insère sur les pages d’un ou plusieurs sites :
<img src="http://demo.freeglobes.net/vote.php?id=45" width="0" height="0" border="0" alt="" />

Et hop le tour est joué ! Chaque fois qu’un internaute visitera une de ces pages contenant l’image, alors ce sera son ip qui sera prise en compte et donc le vote, la visite… seront enregistrés.

L’image est interprétée par le navigateur de l’internaute, donc c’est l’ip de l’intenaute qui sera renvoyée pas celle du serveur.

J’ai pris comme exemple FreeGlobes mais c’est valable pour de nombreux annuaires et autres sites, suffit à chaque fois de trouver la bonne url à appeler. Cela ouvre aussi à d’autres type d’applications…

Pour se protéger des spammeurs, de plus en plus de webmasters ajoutent à leurs formulaires (de contact, de soumission d’articles, de commentaires, d’inscriptions….) un code antispam à recopier. Ce code est la plupart du temps représenté dans une image.

En tant que référenceur/webmaster, on a parfois besoin d’inscrire des sites dans des annuaires de sites web, pour cela on va soit soumettre manuellement nos sites en renseignant le formulaire de soumission (long travail fastidieux quand il est question de renseigner de nombreux annuaires pour y inscrire différents sites).
On peut aussi créer un script qui va le faire automatiquement pour nous, avec l’aide de PHP et Curl, cela est assez simple à faire…
Mais cela ne résoud pas notre souci de code captcha qu’il faudra quand même renseigner à la main ou alors utiliser des logiciels complexe à mettre en oeuvre sur un serveur web comme les programmes de traitement de caractères du type OCR. Il existe un programme développé par HP et mis en open source sur google code, mais il nécessite un serveur dédié.

Il existe une astuce toute bête qui permet de contourner ces protections de formulaires par codes antispam: faire saisir ces codes captcha par vos propres visiteurs.

Comment ?

Là encore tout dépend de l’imagination de chacun, le tout c’est de comprendre le principe.

On a tous des sites web sur lesquels on utilise différents formulaires, on peut alors ajouter un code captcha ou remplacer le code captcha existant, si on en utilise déjà un, par celui du formulaire de soumissions aux annuaires.

Les étapes :

1 - on construit par exemple un formulaire de contact
2 - on récupère le code captcha issus de l’annuaire cible et on l’affiche au bas de notre formulaire de contact
3 - On récupère les variables du formulaire de soumission de l’annuaire cible (nom, mail, catégorie, titre, description…)
4 - On les ajoute en champs cachés au formulaire de contact qui va à la fois nous permettre de recevoir le mail du visiteur et dans le même temps de soumettre le site à l’annuaire cible.

Là j’ai choisi d’utiliser un formulaire de contact mais vous pouvez utiliser n’importe quel formulaire… Ce n’est qu’une question d’imagination.

Autres articles sur les failles de captchas :

• Pourquoi les captchas basés sur les questions, les calculs ne sont pas fiables ?
• Bypass Captcha : petit tour d’horizon des techniques pour contourner les captchas

Obtenir des liens de domaines en .edu et gov, c’est possible !

Les spammeurs du web cherchent à obtenir des liens de sites considérés comme étant des sites de confiance par Google, certains noms de domaines en .edu ou .gov sont des sites dits trustés, de confiance.

Pour obtenir des liens de ces sites, il faut par exemple avoir des relations dans les universités, des amis étudiants ayant accès à un répertoire du site ou acheter des liens à des universitaires…. Quand on n’a pas de relations, on fait autrement, on utilise Google (on peut bien sûr utiliser yahoo ou msn).

Pour trouver les sites en .edu où l’on pourra mettre des liens, il suffit de saisir les bonnes requêtes dans Google.

(Lire la suite…)

Twitter.com est un site web qui propose un service de micro-blogging couplé à un réseau social qui vous permet de dire à vos amis ce que vous êtes en train de faire et cela de plusieurs façons soit via l’interface web de Twitter, soit à l’aide de logiciels, soit en utilisant leur api, soit en passant par twittermail, par IM ou SMS …

Commencez par vous inscrire et tester www.twitter.com

Lorsqu’on poste un message, on peut ajouter des urls dans ce message, sachant que cette url sera présente sur la page d’accueil de twitter.com qui a un beau PR8 et sur d’autres pages comme la timeline… Ces liens ne sont pas mis en nofollow pour le moment et sont donc pris en compte par les moteurs.
Le souci, c’est que beaucoup de gens utilisent Twitter et donc que votre message apparaitra maximum une à deux secondes sur la page d’accueil de Twitter.

On va donc créer un script qui va permettre l’envoi automatique de messages à Twitter, on se loggue et on poste un message à l’aide de PHP et Curl. Il suffira ensuite de créer un tâche Cron ou de simuler une tâche Cron afin d’envoyer des messages aléatoires uniques à Twitter toutes les minutes par exemple et d’essayer ainsi d’obtenir un lien qui sera pris en compte par les moteurs.

EDITION : TWITTER étant passé en nofollow, cet article n’a plus qu’un intérêt pédagogique pour apprendre à faire de la soumission automatique de formulaire à l’aide de Curl

Voici la fonction :

A vous de continuer, là vous avez la fonction de base pour envoyer un message automatiquement, bref que du pur SEO white hat.

Reste à générer un texte aléatoire cohérent à chaque message posté incluant aléatoirement l’url que l’on souhaite promouvoir afin d’éviter de passer pour un spammeur, c’est là que l’on passe du côté obscur de la force du SEO Black Hat.

Qui s’en charge… et transmet ?