Blog do Eduardo Costa Meu blog pessoal

Tentativa Lusitana de Invasão

Todo mundo conhece alguma piada de português. Ainda não sei como não foram classificadas como "discriminatórias", e nem sei ao certo sua origem. Hoje, entretanto, enfrentei um caso que serve como reforço ao estereótipo.

Não é um segredo que meu blog está em uma das máquinas mais fuleiras da Amazon. Vez ou outra é normal receber um "alarme" de CPU, principalmente quando o Bing ou o Google decide fazer uma indexação completa. Hoje, recebi o alarme da Amazon, mas, por estar no trabalho, decidi deixar a coisa "se resolver" sozinha. Mas não foi o caso - continuou alarmado por mais algum tempo.

Fui obrigado a "dar meus pulos" e entrar no servidor na hora do almoço. Vendo os logs do apache, descobri que algum script-kiddie estava tentando entrar no admin por força-bruta. Já vou avisando aos outros kiddies que meu usuário não é óbvio, e minha senha menos ainda (quase uma frase de tão grande). Seria normal se não fosse algo cômico: o animal que está usando o script não trata os status codes do HTTP. Ou seja, se ele nem tentou manualmente acessar a URL para ver se existe! Chamá-lo de "animal" é sacanagem com os animais...

Adicionei uma regrinha básica no iptables para fazer um drop básico, e, surpresa: o host dele é "web01.fmh.utl.pt". Purtuguês de Purtugal. E, o sujeito é tão predicado que, enquanto escrevi este post, ele fez umas 350 tentativas (todas devidamente "dropadas" pelo iptables). Até os "hackers" de hoje em dia não prestam como o de antigamente...