Rui Cruz

Ok, então tal como esperavam está aqui a review do WordCamp Lisboa, o evento mais bem organizado que fui este ano… e isto por um simples motivo: a pontualidade. Eu saí de casa as 7 da manhã, levantei-me as 6 e pouco e estive em Lisboa as 8. Devia ter até chegado antes do inicio da abertura mas os mapas e eu não falamos a mesma língua. Embora houvessem pessoas que chegassem atrasadas, o evento esteve sempre pontual, exceto quando a Microsoft tentou apresentar um mumbo jambo qualquer que resultou em risota total.

Em relação à apresentação do Paulo Faustino, quero acrescentar apenas que não falar no E-mail Marketing em empresas como CanalMail é um erro gravíssimo, pois este tipo de coisas está mais na moda do que nunca (uma vez que já se removeu a década do “isto é spam” e cria grande valor para o anunciante). Ainda o fui cumprimentar e ainda tivermos uma picardia pelo Twitter durante a tarde. Acho que o Paulo, por mau ou bom blogger que seja (ou por mais, menos ou nenhuns artigos que meia dúzia de pessoas diz que copiou) devia aprender um pouco de humor. Do meu, ou seja, do sarcástico. Eu não tenho nada contra ele, fica aqui escrito para a posteridade.

A apresentação em Inglês que gostei mais foi a do Scott, especialmente quando lhe perguntei se ele ia ao IRC falar com os users normais saiu-lhe uma do “eu sou chefe, posso fazer o que quiser” e fiquei sem palavras até à hora do almoço (ou seja, 10 minutos depois). Foi genial. Adorei o à vontade do homem!

Fui almoçar ao Chinês do Alvalaxia porque não achei que podia gostar da comida biológica que iam servir. E pelos comentários, não devia ter ido sozinho… mas pronto, foi o que foi e vim de barriga cheia para a segunda parte.

Destaco também a Ana Silva pela non-entirely-WordPress talk que se encaixou muito bem ali para tirar um jeito de geekice à coisa.

Mas… o André, grande André Luís e grande talk que foi! Aprendi tanto com aquele bocadinho e vou já começar, mesmo neste site, a redefinir alguns parâmetros de licença para enquadrar melhor alguns sites em termos legais e até morais. Foi sem dúvida a melhor talk que vi.

E claro, o José Fontainhas, com o qual já tinha falado num meetup do WordPress, tive oportunidade de falar com ele novamente e parece-me uma pessoa super porreira.

Agora posto isto… vamos ao que muitos esperam

Há alguns dias neste blog postei uma falha de segurança que podia ter ainda mais sucesso com o WordPress. Após esta publicação, alguém deve ter andado a “experimentar” o script uma vez que alguns sites ficaram offline. O script chama-se kleep dead e o artigo pode ser encontrado aqui.
Tal como prometi, depois do WordCamp iria divulgar a regra. E para quem a quiser, aqui está. Basta ler os comentários (em Inglês) e aplicar ao mod_security pelo WHM ou no ficheiro por SSH. Alguma dúvida, é postarem.

Download/visualização da regra

Rui

PS: obirgado ao @keoshi pela imagem da câmara!

Como dono do Tugaleaks tenho um objetivo: garantir a segurança do meu servidor. Constantemente recebo ataques e tenho IPs bloqueados. mod_security, mod_noloris, mod_reqtimeout e outros são ferramentas do dia-a-dia que ao não usar, deixava todos os meus negócios estancados, dada a complexidade e notoriedade que este e outros sites têm.

O problema

Há cerca de três semanas vi um ataque bastante bom e rápido: o meu servidor com loads de 30 e memória a 100% em menos de 20 segundos. Obviamente que fiquei em pânico e pus-me logo de htop aberto a vasculhar a coisa. Nada. Nadinha de nada. Achei grave, tendo em conta que o htop, para quem não conhece, detalha muito melhor que o comando top. Decidi então investigar os logs.
Os logs eram compostos por pedidos HEAD a um site com o URL a terminar em /?s=#### onde #### ernm palavras random. E depressa cheguei ao WordPress como o causador do problema. Atenção que para já indico não ser um problema totalmente ligado ao WordPress mas bastante facilitado pelo WordPress, uma vez que podemos fazer pesquisas diretas usando o url /?s=termodepesquisa. Por exemplo uma pesquisa de canalmail neste site com link direto vai retornar imediatamente as pesquisas.
E neste campo os plugins de cache também não ajudam pois é algo que também é impossível de travar com pesquisas ao calhas. Então, tinha o servidor há meia hora sob ataque e não sabia como parar.

As experiências

Pensei ser do problema do ficheiro.php.kkk onde o kkk é uma extensão não reconhecida que é executado indevidamente no Apache com as configurações defaut (mais info aqui) e logo pensei ser problema do mod_noloris mal configurado.
Nada disso era. Recompilei o apache e já lá iam 50 minutos.
Entretanto alguém num canal da AnonOps (rede Internacional dos Anonymous) deu-me a dica do exploit  CVE-2011-3192 mas não fazia sentido porque tinha feito update do Apache mesmo há minutos e os logs não eram “iguais” aos que daquele exploit produzia.
Até que passado uma hora, finalmente encontrei o bichinho. Chama-se keep alive dos script e foi criado por alguém que depois de conhecer comecei a idolaterar. Scripts para forçar SEO, scripts bastantes interessantes e este keep alive é o culminar de uma awesomeness enorme deste senhor.
O engraçado é o nome, pois keep alive supostamente refere-se ao KeepAlive On/Off do httpd.conf (ficheiro de configurações do Apache) e mesmo com isso Off o problema continua.

A solução

Tentei mitigar com PHP Caching e EAccelerator e nada. Entretanto andava a bloquear os IPs todos à mão, e dei mais de 100 blocks numa noite apenas.
Já em contacto com a cPanel team e escalado em menos de 5 horas para os devolopers tirei a ideia que o melhor era bloquear com uma regra de mod_security. E foi o que fiz.

A regra… pois, essa é a parte que vem a seguir.

O WordPress ajudou a criar problemas

Se há coisa que não gosto no WordPress é o registo de utilizadores e agora a pesquisa. Não encontrei addons para limitar pesquisas, ou poupar de alguma forma recursos de pesquisa em MySQL.
Por exemplo no SMF a pesquisa pode ser limitada e aí o PHP Caching já ajuda imenso e resolve o problema sem ser preciso mais nada.
Mas o WordPress com a sua pesquisa básica (bastante básica) cria um imenso problema.
Ora, para quem sabe eu vou estar presente este sábado no WordCamp, e pretendo expor a quem quiser ouvir (ou naquelas coisas que dizem ter experts do WordPress) este problema.

A regra de ouro para parar este ataque

É simples: com mod_security fazer um block com REQUEST_METHOD, gravar dados num ficheiro, ver se o HEAD count é X em X segundos e usar a lfd para dar block temporário ou definitivo ao IP atacante. E tudo isto, em menos de 1 segundo.
No Domingo após falar com o pessoal do WordPress vou colocar aqui no blog esta regra. No entanto, e antes que comecem a criticar, este não é uma tentativa de hacking geral ou de lançar o pânico na Web Portuguesa (como se fosse eu a fazer isso). É apenas um teste e um problema real com que me deparei. E desta forma, estou a ajudar outros a preveni-lo.
E por não ser uma tentativa de lançar o pânico, a regra vai estar disponível para os ISPs, SPs e donos de servidores através do meu e-mail mail@ruicruz.pt para que não sejam afetados. Basta pedir. No entanto, não a divulgo para ver o que “acontece” no WordCamp.
E faço isto, com consciência, porque sei que o WordPress pode melhorar. Mas como decidiram ignorar (ou pelo menos a não responder) a mensagem que enviei para o security@wordpress.org, aqui fica o meu “agradecimento”.

WordPress, eu amo-te. Mas tu deste-me hora e meia de serviços web offline e muitas mais horas de dor de cabeça. Ainda assim, é o meu CMS preferido.

Rui

O Curto Circuito, programa para jovens que passa na SIC Radical, faz hoje 12 anos. Não costumo ver muito nos dias de hoje, até porque as pessoas que estão lá não sabem entreter na minha opinião, são demasiado “parvas” no bom sentido, ou seja, forçam demasiado o entretenimento.
Comecei a ver o Curto Circuito na CNL, Canal Noticias de Lisboa, que na altura foi o primeiro canal regional de notícias – o que hoje chamamos de SIC Noticias.
Ok, então eu chegava da escola e via aquilo, com o Unas, o Paiva, a Patrícia Bul e o Alvim. Era fenomenal. Para os anos de 2000/2001 o visual estava ok, e aquilo dava bué pica ver porque haviam bué passatempos e coisas para jovens.

Até 2006/2007 vi o Curto Circuito até começarem a fazer castings e a entrar pessoas cada uma mais parva que a outra, que viria a culminar na entrada do Unas novamente no programa durante algum tempo. O facto é que o programa perdeu a pica para mim.

Hoje o programa é mais compacto, tem apenas duas horas de emissão, e passa das 16h30m as 18h30m. Esperemos que os Morangos com Açúcar não estejam a pensar mudar de horário, ou o CC também o terá que fazer.

Depois disto tudo, no seu global, o CC é um marco icónico da televisão Portuguesa, e deve por isso ser referenciado, pelos bons momentos ao longo de vários anos que me proporcionou.

E, para quem possa eventualmente estar a perguntar… o meu personagem preferido do programa… não era uma pessoa, era o boneco amarelo do grande Unas! E a juntar a isso… só mesmo o Jel dos Homens da Luta!

Rui

O meu dilema semanal começa quando me inscrevo no WordCamp Lisboa 2011 a realizar a 24 de Setembro. Obviamente que esperava ir como um gajo normal, pacifico e certamente geek. Mas foi aí que percebi não ser esse o objetivo que eu tinha traçado para mim mesmo: devo fazer-me notar (para variar). A questão é… se pela positiva, ou pela negativa.

Para isso, aloquei parte do meu cérebro para tentar arranjar a melhor pior forma de me reconhecerem, e tenho duas ideias:

•  Usar a t-shirt do Tugaleaks

O Tugaleaks é um site que nos últimos 9 meses usou WordPress para divulgar conteúdos que outros canais de media não divulgam, como notícias de corrupção, leaks de informações priviligiadas, defaces de sites nacionais, entre outras.
É o site que, volta e meia, recebe a atenção dos media por estar relacionados em termos noticiosos com o grupo emergente de Anonymous em Portugal

• Usar a t-shirt do Procuro Uma Namorada

O Procuro Uma Namorada é um site feito também em WordPress que é pessoalmente ambicioso e único: em vez de me contentar com o que vejo na rua ou nos meios por onde ando, procuro pela Internet a pessoa que consegue bastantes coisas em comum além de respirar, comer e dormir.

Os dois sites, dos quais tenho t-shirts, representam dois exemplos das dezenas de sites que tenho e representam o bom que o WordPress oferece.

Dia 24 lá estarei. Se quiseres marcar um almoço, podes também faze-lo deixando nos comentários.
A inscrição custa 30EUR mas até 7 de Setembro custa 20EUR.

It’s WordPress time. Let’s bring it!

Rui

PS: vai na volta está a chover, e este artigo não serviu para nada

UPDATE: se quiseres 25% de desconto, o DicasWP está a oferecer dois bilhetes