-->

domingo, 7 de fevereiro de 2010

Site neste momento sob ataque de uma botnet.

Pelo menos é o que parece. E também parece ser "inofensivo".

Isso já vinha acontecendo há algumas semanas, mas na taxa de duas ou três vezes por dia. Porém nos últimos minutos dezenas de posts incompreensíveis como esses foram despejados em todos os blogs baseados em wordpress que estão hospedados em ryan.com.br:



Como  todos os blogs são moderados, ninguém além de mim vê isso aí. E o único incoveniente que tenho é ter que dar alguns clicks para apagar tudo.

Note que cada post tem um endereço IP muito diferente do outro. A princípio eu achei que fosse uma doideira do wordpress, apesar de ser altamente improvável que acontecesse em vários os blogs ao mesmo tempo. Mas eu olhei nos logs do meu servidor e esses mesmos endereços estão registrados lá. Isso para mim caracteriza a ação de uma botnet. Eu fiz um Reverse DNS lookup em alguns endereços e encontrei Brasil, Estados Unidos, Holanda e Polônia entre os países de origem.

Resta saber qual o objetivo, já que tem cara de SPAM, mas o texto parece ser aleatório, assim como os URLs.  E URLs aleatórios lembram o modus operandi do famoso vírus Conficker, que também é conhecido por criar botnets.

Eu ia colocar captchas no sistema de comentários dos blogs, mas decidi deixar do jeito que está para capturar o comportamento do bicho por enquanto.

11 comentários:

  1. Interessante. Nunca vi isso.

    Dois plugins que podem ajudar:

    Invisible Defender e WP-SpamFree

    Sem precisar dos malditos captchas.

    ResponderExcluir
  2. Ah, recomendo deixar os dois ligados junto com o famoso Akismet.

    Testa para vermos o resultado ;)

    ResponderExcluir
  3. Eu exagerei quando disse que isso atingiu todos os blogs. Certamente no meio da enxurrada pareceu que eram todos, mas os do blog Sete Problemas eram comentários legítimos.

    Os alvos eram o blog do site e o blog pessoal. Curiosamente, têm em comum que ambos foram transformados recentemente, mas estavam indexados pelo Google há muito tempo.

    ResponderExcluir
  4. Já parou. Mas gostaria muito de saber o que é isso, porque sei que vai voltar.

    ResponderExcluir
  5. Aconteceu comigo nos (poucos) blogs hospedados no omegageek.com.br. Como tudo é moderado, fui apagando aos poucos.

    Muitos de uma só vez foi um acontecimento único. De resto, tenho spams rotineiros.

    ResponderExcluir
  6. Legal seu espírito investigativo. É curioso que nem mesmo as URLs citadas existem. É uma coisa totalmente sem sentido, senão ocupar o precioso tempo do dono do blog.

    ResponderExcluir
  7. Jefferson,
    Também administro um blog em WordPress, e estes tipos de comentários são muito comuns. O akismet consegue pegar todos (ou grande maioria) dos que chegam, mas muitos ultrapassam ainda. Eu não perco tempo procurando a causa, somente sei que depois de um tempo eles param de chegar, e depois começam de novo.
    Quanto mais famoso seu blog fica, mais você recebe. Mas isso é totalmente normal. Mesmo que seus comentários não fossem moderados, os SPAM's até passariam, mas o akismet procura sempre checar por SPAM mesmo comentários já aceitos, e manda para moderação os que ele suspeita como SPAM.
    Esse é um ciclo que nunca para: Sempre haverá estes SPAM's :(
    O que você pode fazer, se seu wordpress é hospedado em um servidor linux, é criar um "deny from xxx.xxx.xxx.xxx", uma regra que limita alguns IP's. Tem alguns sites que distribuem estas listas com ips de spammers. É só procurar bem! Evita bastante SPAM também :) Mas infelizmente nem sempre funciona como o desejado, e acaba bloqueando usuários também (raramente, é mais para quem utiliza proxy mesmo).

    ResponderExcluir
  8. Comigo também acontece e é cíclico. Não chega a ser muitos, mas vem em grupos. Aleatórios e sem qualquer sentido. Span-lixo mesmo.
    Na sequencia não parece repetir Ips, por isso não os bloqueio.
    Também penso em captcha...

    Lauro Faria
    www.bdibbs.com.br

    ResponderExcluir
  9. Ryan, nos blogs que foram atingidos está instalado os plugins Akismet e o Bad Behavior?

    Se não estiverem, com certeza foi isso. Digo, essa duplinha protege contra a grande maioria de spam bots

    ResponderExcluir
  10. Jefferson, o melhor é se registrar na Wordpress.com (é preciso, para receber uma API key) então é so ativar o plugin Akismet que vem com o Wordpress, inserir a API key, e não se preocupar mais com o assunto... :)

    Saudações,
    jmaraujo

    ResponderExcluir
  11. Apesar do "dissabor" eu acho que o um captcha é a saída mais rápida. Em um guestbook free em php que usei num site meu, ele não tinha qualquer proteção. Acabei quase maluco em apenas uma semana de tanto spam. Coloquei um captcha e um filtro besta que não permite colocar URL no campo da mensagem do guestbook (existe um campo próprio pra url). Resultado: ZEROU o spam.

    ResponderExcluir

Siga as regras do blog ou seu comentário será ignorado.