PROZONE powered by Tophost
  Home   Forum   Regolamento Help Login Registrati   *
Statistiche
Utenti
Utenti Totali: 1707
Ultimo utente: xal
Statistiche
Posts Totali: 29470
Topics Totali: 3404
Online Oggi: 51
Presenze Massime Online: 559
(23 Luglio 2008, 14:24:28)
Utenti Online
Utenti: 0
Visitatori: 46
Totale: 46
Siti amici
Design & Multimedia

Dire e Fare il blog che ti aiuta

Wordpress
Pagine: [1] 2
 
Autore Topic: Nuova Frontiera Dello Spam Sui Blog  (Letto 16126 volte)
Tophost
Provider
*
Posts: 970


Nuova Frontiera Dello Spam Sui Blog
« il: 24 Luglio 2006, 15:39:50 »

Avete protetto per bene gli script che gestiscono i commenti, sui vostri blog? Delle immagini di protezione captcha se ne sono accorti anche gli spammer, tant'e' che hanno deciso di cambiare fronte.

In questi ultimi giorni ci siamo accorti di una nuova “spam-moda” che imperversa nel web e che purtroppo vede protagonista la piattaforma WordPress.

Ora dobbiamo affrontare il problema dello spam attraverso i trackback.

Piccola postilla. I nostri server sono dotati del QoS e quest’ultimo riesce ad arginare il problema. Va da se che se ci sono decine e decine di siti con script bucati contemporaneamente, il server intero ne potra' risentire comunque.

Il file preso di mira e' wp-trackback.php. Viene semplicemente richiamato decine di volte al secondo ed utilizzato per effettuare delle vere e proprie sql injection. Ci sono alcuni siti che sono riusciti a totalizzare migliai di inserimenti via trackback, nonostante il pesante freno imposto dal Qos.

Diciamo fin da subito che passare sia i trackback che i commenti in moderazione e’ un palliativo, in quanto il problema viene solo nascosto, ma rimane vivo, e implacabilmente ci ruba risorse e ci rallenta il sito. Non sappiamo se e’ gia’ uscito un fix per il trackback di WordPress, fatto sta’ che abbiamo analizzato i log di un server a campione di ieri e sapete cosa ne e’ saltato fuori? L’80% delle risorse del server sono state “utilizzate” da:

- accessi ai diversi trackback non protetti da parte di spambot;
- form fatti male che vengono sistematicamente bucati ed utilizzati per spammare;
- script che scandagliano tutti i siti alla ricerca di exploit da utilizzare.

Da una parte siamo contenti che il QoS abbia impedito il blocco totale dei server, dall’altra parte ci rendiamo conto che molti potrebbero godere di un sito molto, ma molto piu’ veloce solamente prestando attenzione a semplice regole di comportamento come:

- tenere sempre aggiornati i propri script;
- non installare tutti i plugin possibili, per poi non usarli, si tratta di ciarpame inutile, che viene regolarmente usato dagli spammatori;
- prestare piu’ che la solita attenzione quando si decide di usare plugin, visto che il piu’ delle volte sono mal programmati e aprono buchi di sicurezza;

Per fare un paio di esempi, alcuni installano il trackback senza sapere a cosa serve e anche se non lo usano lo lasciano installato. Installate sempre e solo il minimo indispensabile.

Altri installano il blog/CMS e poi semplicemente se lo dimenticano li, con il tempo diventa niente meno che un colabrodo bucato e utilizzato solo da malintenzionati. Il sito per ora non vi serve? Cancellatelo, o svuotatelo e mettete una singola pagina statica

Altri ancora installano tre o quattro CMS/blog/forum per provarli, e poi ne utilizzano solo uno, lasciando il resto degli script installati e mezzi configurati nel proprio spazio. Qualche file/script non vi serve piu'? Eliminatelo subito dal server!

Abbiamo segnalato la cosa anche al webmaster che cura il sito wordpress-it.it, cosi' che ci possa fornire ulteriori consigli e chiarimenti sul trackback.

Buona giornata a tutti.
Loggato
guardaqua
Supervisore
*
Posts: 717


Nuova Frontiera Dello Spam Sui Blog
« Risposta #1 il: 24 Luglio 2006, 15:58:14 »

Riguardo a Wordpress, a partire dalla versione 2.0 (attualmente l'ultima stabile è la 2.0.3) i trackback sono attivi per default, MA c'è un controllo preventivo che dovrebbe quanto meno far desistere gli spammer: ovvero, se nella pagina che "pinga" il post al quale si vuole mandare il TB non è presente un link a quel post, il TB non viene pubblicato (non dovrebbe nemmeno entrare in coda di moderazione, ma sinceramente non l'ho testato).

Corro ad installare il chaptcha nel form mail del mio sito... il destinatario è unico (leggi: quello spam rompe le balle solo a me) ma... meglio prevenire, che curare (col filtro antispam).

P.s. riguardo allo spam via form mail, di cui si parla qui, tutte le visite provengono da uno spammer ucraino che ha questo ip: 195 [punto] 225 [punto] 177 [punto] 46.
Non sarebbe il caso di bloccarlo via server? Anzi, invece del Chaptcha (che è poco accessibile) ora lo blocco via .htaccess...
« Ultima modifica: 24 Luglio 2006, 16:10:19 da guardaqua » Loggato

effe8
Coordinatore
*
Posts: 837


Nuova Frontiera Dello Spam Sui Blog
« Risposta #2 il: 24 Luglio 2006, 16:51:13 »

A questo punto tocca aspettare che il responsabile di wordpress-it.it, alias Wordpress Italia, ci aiuti a sviscerare meglio la questione, capendo come proteggere i nostri blog e il blog di Capitan Uncino.  :eeeek:

Poi, quando la questione sara' ben dibattuta la passero' via RSS cosi' da darle piu' enfasi possibile.

 
Loggato

SteveAgl
Utente Attivo
****
Posts: 239


Nuova Frontiera Dello Spam Sui Blog
« Risposta #3 il: 24 Luglio 2006, 16:58:06 »

Confermo quanto detto da guardaqua, c'è da tempo il controllo descritto, altre migliorie "dirette" nelle attuali versioni in sviluppo non ve ne sono, almeno dai log dell'SVN che ho appena visionato.

Vero è che i trackback ora sono abilitati di dafault, ma proprio perchè sono stati introdotti controlli mirati a limitare lo spam, per il momento per quanti avessero problemi di SPAM possiamo solo suggerire di disabilitarli momentaneamente.

Un sistema che risualta efficientissimo per l'eliminazione dello SPAM anche se non risolve ovviamente il problemi di saturazione della banda e delle risorse, è l'utilizzo di un buon plugin antispam, al momento la soluzione ottimale è Akismet fornito a corredo con la distribuzione, occorre registrarsi su wordpress.com per ottenere una chiave di attivazione per il plugin stesso, ma attualmente è l'unico sistema antispam da noi utilizzato su WPIT con ottimi risultati, meno dell'uno percento dello spam riesce a passare.

Sarebbe interessante verificare se i siti che hanno ottenuto nonostante il QOS centinaia di commenti di spam utilizzano una versione aggiornata di WP.

Ho comunque sottoposto il problema alle Mailing List tecniche visto che questa settimana dovremmo avere il rilascio della versione beta della 2.0.4, mentre continua lo sviluppo della 2.1, nel caso saremmo ancora in tempo per una fix prima del rilascio della versione finale della 2.0.4

Vi terrò informati a riguardo.

Le regole indicate da TopHost sono ovviamente regole aure, nei prox giorni appena avrò risposta sul problema trackback anche sul blog di WPIT faremo un articolo a riguardo.
Loggato

Owner of:  WordPress Italy il tuo WordPress in Italiano.
Personal Blog: 40 Anni Buttati
guardaqua
Supervisore
*
Posts: 717


Nuova Frontiera Dello Spam Sui Blog
« Risposta #4 il: 24 Luglio 2006, 17:15:40 »

Intanto, una infarinatura sui Trackback:

CHE COSA SONO I TRACKBACK?
Un trackback è propriamente una NOTIFICA: ricevere un T.B. significa che c'è un'altra pagina su internet che parla della nostra.
Può essere il caso di un articolo su un blog che cita, riprende, approfondisce o critica un altro articolo su un altro blog (o sullo stesso).

Un po' di storia e tecnica
Il Trackback è una funzione che è stata introdotta, per la prima volta, nella piattaforma blog Movable Type, e successivamente adottata da Wordpress e molti altri.

Nella sostanza, si tratta di una applicazione server XML-RPC che attende i "ping", ovvero pacchetti di dati inviati da una risorsa web ad un'altra. Questi pacchetti contengono l'url di partenza, quello di destinazione, la data, il formato del "ping", e altre informazioni. Una volta ricevuto il pacchetto, il server compie determinate azioni (come controllare la presenza del link alla risorsa "pingata" nella pagina che fa partire il ping, inserisce i dati nel database, eccetera).

Per sua stessa natura, il server dei trackback "deve" essere sempre aperto e disponibile a ricevere questo tipo di chiamate.

Come funzionano i trackback?
Parliamo di Wordpress:
abilitando la casella "Cerca di notificare tutti i Weblog citati da questo articolo (rallenta l’inserimento dei post.)" in Opzioni->Discussione, in fase di pubblicazione del post WP manderà un "ping" a tutti i link presenti nell'articolo.

Diversamente, si dovranno inserire a mano i link al quale si vuole mandare un ping nell'apposito campo ("Invia trackbacks a:") nel pannello di scrittura del post.

A che servono i Trackback?
Oltre che per sapere chi sta parlando di noi, e in che modo, possono servire al webmaster per "piazzare" un link in una pagina presumibilmente a tema con la nostra (dato che la citiamo), oppure all'utente per approfondire un dato argomento.

Facciamo un esempio: c'è un portale sul turismo con i trackback aperti. Io cerco un ristorante, e atterro sulla scheda di un locale su questo portale. Guardo i trackback, e scopro che Uncino (metti) ha fatto un post dove parla di questo ristorante, dato che è stato lì a mangiare in vacanza. Ma leggendo il post di Uncino, scopro un sacco di altre cose su quella zona (dato che ha scritto della sua permanenza in quel luogo).
(Grazie Salatti per questo esempio Occhiolino)

Qualche link per saperne di più...
http://it.wikipedia.org/wiki/Trackback
http://www.giorgiotave.it/forum/blog-tutto...-web-3-0-a.html
http://www.terenzani.it/19/come-funzionano-i-trackback/
http://it.salatti.net/index.php/2006/05/28...arare-dai-blog/


...va da sè che, se non li usate / non li includete nel template / non li ritenete utili, i trackback fareste meglio a disabilitarli.
« Ultima modifica: 24 Luglio 2006, 17:21:56 da guardaqua » Loggato

Tophost
Provider
*
Posts: 970


Nuova Frontiera Dello Spam Sui Blog
« Risposta #5 il: 24 Luglio 2006, 17:21:38 »

Ringraziamo SteveAgl, l'amministratore di WordPress Italia, per il suo prezioso intervento e per il suo interesse al caso.

Citazione
Sarebbe interessante verificare se i siti che hanno ottenuto nonostante il QOS centinaia di commenti di spam utilizzano una versione aggiornata di WP.
Da controlli effettuati abbiamo appurato che, molti siti affetti dal problema trackback girano con Wordpress 2.0.3. Triste

Riguardo l'osservazione postata da Guardaqua, non e' possibile, che semplicemente sia stato scoperto un modo di aggirare la protezione del trackback? Una vulnerabilita' dello script wp-trackback.php?
« Ultima modifica: 24 Luglio 2006, 17:32:18 da Tophost » Loggato
guardaqua
Supervisore
*
Posts: 717


Nuova Frontiera Dello Spam Sui Blog
« Risposta #6 il: 24 Luglio 2006, 17:31:54 »

Citazione
Da controlli effettuati abbiamo appurato che, molti siti affetti dal problema trackback girano con Wordpress 2.0.3. Triste
Sì, ma scommetto che poi il trackback di spam non ha superato il filtro. Non è che potete fare qualche controllo campione per confermare/smentire?

Il fatto è che dall'esterno non sai quale versione di WP sta utilizzando un dato sito, quindi lo spammer "ci prova" comunque: finchè anche solo un 10% pubblica i trackback  da pagine senza link in uscita che puntano alla risorsa di destinazione, il sistema resta conveniente.
Se tutti aggiornassero a WP 2.0, non sarebbe più conveniente perchè si dovrebbero utilizzare ingenti risorse tecniche -che costano- per avere un link in una percentuale irrilevante di siti "pingati". Un po' come è successo coi form col chaptcha.

Citazione
Riguardo l'osservazione postata da Guardaqua, non e' possibile, che semplicemente sia stato scoperto un modo di aggirare la protezione del trackback? Una vulnerabilita' dello script wp-trackback.php?
Non ne sono sicuro, ma non credo (SteveAgl, confermi?).

Il fatto è che, per forza di cose, il controllo del link va effettuato a posteriori, ovvero dopo aver ricevuto la chiamata XML-RPC. Lo spammer non ci guadagna nulla, ma la risorsa ormai è stata utilizzata... Triste
Loggato

SteveAgl
Utente Attivo
****
Posts: 239


Nuova Frontiera Dello Spam Sui Blog
« Risposta #7 il: 24 Luglio 2006, 17:34:27 »

I file in questione è stato modificato diverse volte durante lo sviluppo della 2.0.4, nessuno dei ticket che lo riguardano però fa riferimento a problemi di sicurezza.

Nemmeno i siti sulla sicurezza segnalano un exploit a riguardo, almeno da una mia rapida ricerca non ho trovato nulla.

Ripeto, ho sottoposto la cosa alla ML tecnica di sviluppo, nelle prossime ore o tipicamente stanotte qualche risposta dagli sviluppatori o comuqnue da collaboratori esterni molto addentro alla cosa arriveranno.
Loggato

Owner of:  WordPress Italy il tuo WordPress in Italiano.
Personal Blog: 40 Anni Buttati
SteveAgl
Utente Attivo
****
Posts: 239


Nuova Frontiera Dello Spam Sui Blog
« Risposta #8 il: 24 Luglio 2006, 17:41:54 »

Citazione
Il fatto è che, per forza di cose, il controllo del link va effettuato a posteriori, ovvero dopo aver ricevuto la chiamata XML-RPC. Lo spammer non ci guadagna nulla, ma la risorsa ormai è stata utilizzata... Triste
Qui purtroppo è vero, fermare il trackback spammatorio limita solo parzialmente le risorse utilizzate la chiamata viene comunque effettuata, cosi come vi è uno spreco di risorse anche se i trackback sono disabilitati. Ma a questo non vi è soluzione possibile, potrei caricare il sistema anche solo chiamando altri file di WP facendoli eseguire migliaia di volte...  
Loggato

Owner of:  WordPress Italy il tuo WordPress in Italiano.
Personal Blog: 40 Anni Buttati
guardaqua
Supervisore
*
Posts: 717


Nuova Frontiera Dello Spam Sui Blog
« Risposta #9 il: 24 Luglio 2006, 17:48:25 »

Citazione
cosi come vi è uno spreco di risorse anche se i trackback sono disabilitati.
Ah, io pensavo che se nel database avesse trovato l'opzione Trackback = Disabilitati allora avrebbe "spento" il server XML-RPC... che cavolo, è un IF in php...
« Ultima modifica: 24 Luglio 2006, 17:48:55 da guardaqua » Loggato

SteveAgl
Utente Attivo
****
Posts: 239


Nuova Frontiera Dello Spam Sui Blog
« Risposta #10 il: 24 Luglio 2006, 17:53:44 »

Non ho guardato il codice per vedere se "spegne" o meno il server, in ogni caso la chiamata c'è un minimo di elaborazione c'è, quindi uno spreco di risorse c'è comunque, questo intendevo con il discorso di cui sopra.
Loggato

Owner of:  WordPress Italy il tuo WordPress in Italiano.
Personal Blog: 40 Anni Buttati
guardaqua
Supervisore
*
Posts: 717


Nuova Frontiera Dello Spam Sui Blog
« Risposta #11 il: 24 Luglio 2006, 18:04:29 »

Citazione
Non ho guardato il codice per vedere se "spegne" o meno il server, in ogni caso la chiamata c'è un minimo di elaborazione c'è, quindi uno spreco di risorse c'è comunque, questo intendevo con il discorso di cui sopra.
Ah, scusami, non ti avevo capito Sorriso

Però, sono sicuro che se lo spreco di risorse è realmente minore "spegnendo" il server e rispondendo con un header di errore, i ragazzi del team di sviluppo ci hanno già pensato Occhiolino
Loggato

Tophost
Provider
*
Posts: 970


Nuova Frontiera Dello Spam Sui Blog
« Risposta #12 il: 24 Luglio 2006, 18:05:35 »

Citazione
Riguardo a Wordpress, a partire dalla versione 2.0 (attualmente l'ultima stabile è la 2.0.3) i trackback sono attivi per default, MA c'è un controllo preventivo che dovrebbe quanto meno far desistere gli spammer: ovvero, se nella pagina che "pinga" il post al quale si vuole mandare il TB non è presente un link a quel post, il TB non viene pubblicato (non dovrebbe nemmeno entrare in coda di moderazione, ma sinceramente non l'ho testato).
Quanto abbiamo rilevato attraverso l'IDS e' questo:

Codice:
*** LOG
Request: www.********.it 200.61.229.107 - - [24/Jul/2006:18:25:48
+0200] "POST /blog/wp-trackback.php/124 HTTP/1.0" 406 1393 "-" "Opera/6.02
(Windows 2000; U) [en]" RMT0jNlAys0AAFvTY7Y "-"

*** HEADER
POST /blog/wp-trackback.php/124 HTTP/1.0
Accept: */*
Content-Length: 555
Content-Type: application/x-www-form-urlencoded
Host: www.********.it
Pragma: no-cache

555
url=http%3A%2F%2Fwww.junior-summer-dresses.in2.pl&author=sexy%20summer%20dresses
&title=plus%20size%20summer%20dresses&blog_name=junior%20summer%20dresses
&e-mail=andrew%4056mail.com&excerpt=sexy%3Ca%20href%3D%22http%3A%2F%2F
www.sexy-summer-dresses.in2.pl%2F%22%3Esexy%20summer%20dresses%3C%2Fa%3Esummer
%0D%0A%3Ca%20href%3D%22http%3A%2F%2Fwww.plus-size-summer-dresses.in2.pl%2F%22%3Eplus
%20size%20summer%20dresses%3C%2Fa%3Edress%0D%0A%3Ca%20href%3D%22http%3A%2F%2F
www.junior-summer-dresses.in2.pl%2F%22%3Ejunior%20summer%20dresses%3C%2Fa%3Ejunior
&action=add

Sempre da nostri esami via IDS e QOS abbiamo visto che ad ogni attacco viene richiamato questo file: wp-content/plugins/Bad-Behavior/bad-behavior/housekeeping.inc.php.

Codice:
<?php if (!defined('BB2_CORE')) die('I said no cheating!');
function bb2_housekeeping($settings, $package)
{
         // FIXME Yes, the interval's hard coded (again) for now.
         $query = "DELETE FROM `" . $settings['log_table'] . "` WHERE
`date` < DATE_SUB('" . bb2_db_date() . "', INTERVAL 7 DAY)";
         bb2_db_query($query);
         // Waste a bunch more of the spammer's time, sometimes.
         if (rand(1,25) == 1) {
                $query = "OPTIMIZE TABLE `" . $settings['log_table'] .
"`";
                bb2_db_query($query);
         }
}
?>

Come potete notare, questo file, ha al suo interno un comando pesantissimo, ci riferiamo ad OPTIMIZE TABLE. Probabilemnte lo spam via trackback viene eliminato, ma con aggravio inutile nell'uso delle risorse.

Innanzi tutto questo OPTIMIZE TABLE andrebbe chiamato con una frequenza randome non di 1 a 25, ma almeno di 1 a 2500 e, comunque questo modo di agire rimane sempre, a nostro avviso, un palliativo.

Immaginate di ricevere in pochi minuti 20000/30000 attacchi al vostro file wp-trackback.php e che questo cominci ad effettuare di conseguenza 1000/1200 OPTIMIZE TABLE. Questo e' un buon metodo per rallentare vistosamente il MySQL.

La cura deve essere alla radice, si dovrebbe semplicemente epurare questo spam via trackback, prima che sia inserito nel database.

Speriamo che i dati messi a disposizione possano essere utili a SteveAgl per far presente il problema agli sviluppatori di WordPress.

Per qualsiasi informazione si rendesse utile possiamo sempre effettuare ulteriori controlli.
« Ultima modifica: 24 Luglio 2006, 18:31:52 da effe8 » Loggato
guardaqua
Supervisore
*
Posts: 717


Nuova Frontiera Dello Spam Sui Blog
« Risposta #13 il: 24 Luglio 2006, 18:32:20 »

wp-content/plugins/Bad-Behavior/bad-behavior/housekeeping.inc.php è un plugin, che va scaricato, installato e attivato a parte, per fortuna non è presente di default.

In ogni caso, mi sono preso la briga di scrivere all'autore per chiedere un aggiornamento del valore da 25 a 2500 come avete suggerito.

Citazione
La cura deve essere alla radice, si dovrebbe semplicemente epurare questo spam via trackback, prima che sia inserito nel database.

E siamo alle solite: BISOGNA AGGIORNARE LE PIATTAFORME SOFTWARE!!!!
Finchè una parte consistente dei webmaster/blogger tiene attiva una versione di Wordpress (che sia la 1.2 o 1.5 non lo so) che pubblica "a occhi chiusi" un trackback, ci saranno sempre degli spammer che effettueranno attacchi di questo tipo.

Intanto, SteveAgl, hai un pvt Occhiolino
« Ultima modifica: 24 Luglio 2006, 18:40:22 da guardaqua » Loggato

SteveAgl
Utente Attivo
****
Posts: 239


Nuova Frontiera Dello Spam Sui Blog
« Risposta #14 il: 24 Luglio 2006, 19:15:42 »

Citazione
Quanto abbiamo rilevato attraverso l'IDS e' questo:

...

Sempre da nostri esami via IDS e QOS abbiamo visto che ad ogni attacco viene richiamato questo file: wp-content/plugins/Bad-Behavior/bad-behavior/housekeeping.inc.php.

...

Speriamo che i dati messi a disposizione possano essere utili a SteveAgl per far presente il problema agli sviluppatori di WordPress.
L'informazione risulta utile perchè evidenziacome ilproblema sia esterno a WP trattandosi come ha detto guardaqua dio un plugin di WP.

Vero che il plugin è molto diffuso, almeno priam dell'avvento di Akismet era uno dei plugin antispam più utilizzati.

Il plugin interviene a monte del trackback proprio perchè svolge funzione antispam, inote gestisce una sua serie di tabelle che lo rendono decisamente più pesante di Akismet, oltre ad essere meno preciso.

Suggerite ai vostri utenti di passare ad Akismet come soluzione antispam, è vero che interroga una risorsa esterna ma risulta ad oggi estremamente efficace, pochissimi falsi positivi e pochissimi spam non rilevati e sopratutto non fa una porcheria come quella di badbehaviour

Grazie a Guardaqua che ha segnalato la cosa all'autore del plugin.
Loggato

Owner of:  WordPress Italy il tuo WordPress in Italiano.
Personal Blog: 40 Anni Buttati
Pagine: [1] 2
 
 
Salta a:  

Oggetto Iniziato da Risposte Visto Ultimo Post
Il modulo mi fa arrabbiare! puma512 2 2574 Ultimo Post 8 Febbraio 2009, 23:09:42
da puma512
Link Utili guardaqua 5 11846 Ultimo Post 25 Ottobre 2009, 17:27:51
da Sonia D
Ottimizzare Mysql Per Prestazioni Migliori effe8 3 15352 Ultimo Post 10 Marzo 2009, 10:01:20
da MySeQuoiaL
Rss effe8 14 13032 Ultimo Post 20 Febbraio 2008, 14:00:39
da marco76tv
Il Wi-max Come Strumento Anti Digital Divide luke 0 1844 Ultimo Post 11 Gennaio 2007, 15:57:40
da luke
Powered by MySQL Powered by PHP Powered by SMF 1.1.8 | SMF © 2006-2008, Simple Machines LLC
Traduzione Italiana a cura di SMItalia

TinyPortal v0.9.8 © Bloc
XHTML 1.0 Valido! CSS Valido!


Ultima visita di Google a questa pagina 3 Agosto 2010, 22:00:33