← Segurança

[Overload] Wordpress (www.ruicruz.pt)

Lida 7064 vezes

Offline

Rogério Moreira 
Editor
Mensagens 1313 Gostos 11
Feedback +15

Troféus totais: 32
Trófeus: (Ver todos)
Level 6 Tenth year Anniversary Nineth year Anniversary Eighth year Anniversary Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Poll Starter

Alguém tem comentários a este artigo do Rui?  :lol:

http://www.ruicruz.pt/wordpress-wordcamp.html
Offline

ruicruz 
Membro
Mensagens 1105 Gostos 0
Feedback +1

Troféus totais: 32
Trófeus: (Ver todos)
Apple User Level 6 Super Combination Combination Topic Starter Poll Voter Poll Starter Level 5 Level 4 Level 3

LOL. É interessante, sem dúvida, saber o que os webmasters - principalmente quem tem servidores próprios - acha disto.

O mais interessante é que 5 SPs/pessoas já me pediram a regra, que entretanto enviei.


Rui
Offline

Souza 
Elite
Mensagens 1816 Gostos 1
Troféus totais: 28
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1

E não basta para isso escrever meia dúzia de linhas de código, impossibilitando a pesquisa através do mesmo IP de ser utilizada mais que X vezes? Finalizando com um captcha ou obrigar a um intervalo de 15 segundos entre cada pesquisa após as primeiras 10 pesquisas.
Offline

Project 
Membro
Mensagens 1471 Gostos 17
Feedback +22

Troféus totais: 25
Trófeus: (Ver todos)
Mobile User Apple User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2 Level 1

Eu acho que foi um ataque desse genero que teve o Secret-Story2, pelo que me disse o Kaydara...Ele resolveu isso sem problema :S
Offline

asturmas 
Administrador
Mensagens 19734 Gostos 49
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)
Mobile User Windows User Super Combination Combination Topic Starter 100 Poll Votes 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

E não basta para isso escrever meia dúzia de linhas de código, impossibilitando a pesquisa através do mesmo IP de ser utilizada mais que X vezes? Finalizando com um captcha ou obrigar a um intervalo de 15 segundos entre cada pesquisa após as primeiras 10 pesquisas.
Provavelmente o problema é que para isso deves ter de mexer no core do wordpress... E quando actualizares...
Offline

ruicruz 
Membro
Mensagens 1105 Gostos 0
Feedback +1

Troféus totais: 32
Trófeus: (Ver todos)
Apple User Level 6 Super Combination Combination Topic Starter Poll Voter Poll Starter Level 5 Level 4 Level 3

E não basta para isso escrever meia dúzia de linhas de código, impossibilitando a pesquisa através do mesmo IP de ser utilizada mais que X vezes? Finalizando com um captcha ou obrigar a um intervalo de 15 segundos entre cada pesquisa após as primeiras 10 pesquisas.

O pedido é feito por HEAD... logo não é assim tão fácil.
E o esteves tem um bom ponto de vista também. :)


Rui
Offline

kaydara 
Membro
Mensagens 616 Gostos 1
Feedback +1

Troféus totais: 21
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2 Level 1 500 Posts 100 Posts

iptables resolve bem isso de forma dinamica... ou seja para todos os ip's
Offline

ruicruz 
Membro
Mensagens 1105 Gostos 0
Feedback +1

Troféus totais: 32
Trófeus: (Ver todos)
Apple User Level 6 Super Combination Combination Topic Starter Poll Voter Poll Starter Level 5 Level 4 Level 3

iptables resolve bem isso de forma dinamica... ou seja para todos os ip's

Tens que criar rules para isso.
No meu caso criei mais "à frente" no mod_security, mas existem várias aproximações ao assunto e várias formas de resolver.

MAS, o ponto é que nenhuma delas é out-of-the-box. :)


Rui
Offline

Emanuel Santos 
Elite
Mensagens 848 Gostos 2
Feedback +25

Troféus totais: 25
Trófeus: (Ver todos)
Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 4 Level 3 Level 2 Level 1

Consultei o HTML da página e está lá uma footprint muito óbvia da versão do Wordpress, tem cuidado com isso. Se são vários IPs é porque estão a scannar o site a tentar confirmar o spam enviado no passado. Não é um ataque, estão apenas a ver se o teu site aceita comentários spam.

A pesquisa falhada no Wordpress dá 404 ou não, isso é que eles querem através do HEAD. Isto é um problema que poderias ter evitado através da remoção da versão do Wordpress.
Offline

kaydara 
Membro
Mensagens 616 Gostos 1
Feedback +1

Troféus totais: 21
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2 Level 1 500 Posts 100 Posts

Tens que criar rules para isso.
No meu caso criei mais "à frente" no mod_security, mas existem várias aproximações ao assunto e várias formas de resolver.

MAS, o ponto é que nenhuma delas é out-of-the-box. :)


Rui

sim claro, neste caso como estou á vontade com iptables, foi para onde me virei e facilmente resolver.
a linha de comandos para resolver para todos os ip's não deixo aqui, mas pode ficar para um IP apenas, essa é 100% segura... a outra ainda necessita de mais tempo para garantir que não tem efeitos secundários indesejados

primeira linha bloqueia o IP 2.2.2.2 , a segunda desbloqueia

iptables -A INPUT -s 2.2.2.2 -j DROP
iptables -D INPUT -s 2.2.2.2 -j DROP

fica á vossa responsabilidade usarem
Offline

asturmas 
Administrador
Mensagens 19734 Gostos 49
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)
Mobile User Windows User Super Combination Combination Topic Starter 100 Poll Votes 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

O problema não tem de forma alguma a ver com a versão do Wordpress até porque a versão que o Rui utiliza é a ultima, o problema esta em o wordpress aceitar pesquisar de forma directa (via url) e de uma forma infinita.. No entanto não acontece só com WP.
Offline

ruicruz 
Membro
Mensagens 1105 Gostos 0
Feedback +1

Troféus totais: 32
Trófeus: (Ver todos)
Apple User Level 6 Super Combination Combination Topic Starter Poll Voter Poll Starter Level 5 Level 4 Level 3

O problema não tem de forma alguma a ver com a versão do Wordpress até porque a versão que o Rui utiliza é a ultima, o problema esta em o wordpress aceitar pesquisar de forma directa (via url) e de uma forma infinita.. No entanto não acontece só com WP.

MAS acontece em maior "estrago" no WP. :)


Rui
Offline

Emanuel Santos 
Elite
Mensagens 848 Gostos 2
Feedback +25

Troféus totais: 25
Trófeus: (Ver todos)
Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 4 Level 3 Level 2 Level 1

O problema não tem de forma alguma a ver com a versão do Wordpress até porque a versão que o Rui utiliza é a ultima, o problema esta em o wordpress aceitar pesquisar de forma directa (via url) e de uma forma infinita.. No entanto não acontece só com WP.

Eles (botnets/spammers) sabem que o site do Rui corre em Wordpress. Eles nem sabem quem é o Rui. Quanto sair um exploit grave o Rui será dos primeiros a ser atingido. Volta a ler a minha resposta inicial.
Offline

Emanuel Santos 
Elite
Mensagens 848 Gostos 2
Feedback +25

Troféus totais: 25
Trófeus: (Ver todos)
Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 4 Level 3 Level 2 Level 1

Penso que há aqui uma pequena confusão, o site do Rui foi atingido por vários IPs, enquanto que o site do Project foi por apenas um. Claramente que no caso do Rui a actividade está relacionada com spam. No caso do Project a intenção é mesmo causar estragos, pelo que a utilização do iptables serve, mas não é fidedigno.
Offline

ruicruz 
Membro
Mensagens 1105 Gostos 0
Feedback +1

Troféus totais: 32
Trófeus: (Ver todos)
Apple User Level 6 Super Combination Combination Topic Starter Poll Voter Poll Starter Level 5 Level 4 Level 3

Penso que há aqui uma pequena confusão, o site do Rui foi atingido por vários IPs, enquanto que o site do Project foi por apenas um. Claramente que no caso do Rui a actividade está relacionada com spam. No caso do Project a intenção é mesmo causar estragos, pelo que a utilização do iptables serve, mas não é fidedigno.


Nada disso.
Foram vários IPs mas foi quando dei block ao primeiro. Ou seja, váriops IPs mas um de cada vez apenas.
Se calhar expliquei-me mal no post. Too late to change, heh.

Anyway, aqui está a regra tal como prometi: http://www.ruicruz.pt/review-wordcamplisboa2011.html


Rui