Rui Cruz

Portugal mostra-se à Internet com os domínios .pt, tal como este site. Na realidade, mostramos a vergonha nacional na gestão e otimização dos recursos, que comparados com sucessos internacionais, é desastrosa.

A DNS.PT é da FCCN, que é uma instituição privada sem fins lucrativos designada de utilidade pública. Mas que utilidade tem uma empresa de utilidade pública, passo a redundância, que apenas trás má fama à Internet em Portugal?

Já anteriormente a DNS.PT teve menção pouco honrosa neste blog, nomeadamente aqui e aqui. Ainda noutro contexto, foi noticiado em Dezembro de 2010 que a DNS.PT teria sido atacada por hackers e teria assim os seus sistemas vulneráveis. A prova foi publicada também no meu site pois já na altura era informado destas coisas pelo Tugaleaks, tal como mostra  este belo print:

Dia 29 de Fevereiro para 1 de Março foi novamente o caos tecnológico devido à necessidade de atualização do sistema para as regras do sunrise. O sistema deles foi programado para manutenção das 21h as 00h e na verdade só voltou cerca das 01h30m do dia seguinte.

Na realidade, esta liberalização é má por três motivos

• Retira credulidade: antigamente uma pessoa a querer registar um .PT tinha que ser ENI (Empresário em Nome Individual) como eu sou ou fazer o registo de uma marca. Ambas as coisas custam dinheiro e demonstravam um esforço acrescido em ter algo nacional pelo valor da “marca” de um domínio com terminação. PT, ao passo de que hoje em dia qualquer um pode registar um domínio.
•  Demasiados “se” e demasiada incerteza: no artigo 9º das regras (link das regras, obrigado à PTServidor) existem demasiados contornos que devem ser esclarecidos, como o “Corresponder a qualquer domínio de topo da Internet, existente ou em vias de criaçã” (será que o cliente tem que ser médium?), o ” nomes que induzam em erro ou confusão sobre a sua titularidade” (toda a gente regista domínios “tipo” em todo o lado, menos nos .PT), ou o ” Corresponder a palavras ou expressões contrárias à lei, à ordem pública ou bons costume” (se registar o Anonymous.pt será que é contra a lei por alguns os considerarem criminosos?)? E note-se que quem define isto é a FCCN, havendo caso não se concorde uma outra autoridade que faz a gestão dos conflitos.
• Falta de competitividade: esta medida não torna por si os domínios .PT competitivos, já que custam cerca de 3 vezes mais do que os .COM e outros domínios de países como o .US.

Afinal, para quê a liberalização? Para mostrar ao mundo que Portugal não faz nada tecnologicamente como deve ser na Internet quando empresas de “utilidade pública” não são verdadeiramente úteis. É claro que mostrar isto no estrangeiro é sim uma novidade, porque em Portugal e quem lê o meu blog já sabe disso há bastante tempo.

Rui

Como alguns sabem andei a dizer que ia ao Upload Lisboa. Mas, depois de ontem ter visto a mensagem dos Anonymous para a Manifestação de 15 de Outubro tornou-se claro onde o meu coração devia estar: na manifestação, ao lado das minhas ideologias.
Fiquei portanto com um bilhete comprado e sem utilidade. Após contacto com a equipa do Upload Lisboa chegamos à conclusão que podia dar o bilhete.

Sendo assim, vou abrir um concurso que decorre até quarta-feira dia 13 até às 22h.
Para partilhar, podem escolher uma das duas opções:

• Escrever um post no teu blog a linkar ao Upload Lisboa e ao ruicruz.pt com uma frase sobre o porque é que devias ser escolhido para ir.
  Vale 2 vezes.
• - Enviar um Tweet a citar o @UploadLisboa e o @ruicruz com a tag #uplx com uma “grito de guerra” ou uma pequena frase sobre o Upload Lisboa.
  Vale 1 vez.

O sorteio vai ser feito pelo site random habitual, e quem escolher o post no blog terá mais hipóteses porque vai ser inserido o mesmo e-mail duas vezes, ou seja, tem mais hipóteses.
Quinta-feira o nome será enviado para a organização do Upload Lisboa e o meu bilhete (que deverá ser impresso e entregue, presumo eu) será também enviado para o e-mail do vencedor.

Para notificar a participação, apenas precisam de responder nos comentários a este post e indicar o URL do blog ou do tweet que fizeram para ser contabilizado.

Querem ir de borla? Então despachem-se! E vejam a entrevista que fiz com a Virgínia Coutinho no ano passado.

Rui

Ok, então tal como esperavam está aqui a review do WordCamp Lisboa, o evento mais bem organizado que fui este ano… e isto por um simples motivo: a pontualidade. Eu saí de casa as 7 da manhã, levantei-me as 6 e pouco e estive em Lisboa as 8. Devia ter até chegado antes do inicio da abertura mas os mapas e eu não falamos a mesma língua. Embora houvessem pessoas que chegassem atrasadas, o evento esteve sempre pontual, exceto quando a Microsoft tentou apresentar um mumbo jambo qualquer que resultou em risota total.

Em relação à apresentação do Paulo Faustino, quero acrescentar apenas que não falar no E-mail Marketing em empresas como CanalMail é um erro gravíssimo, pois este tipo de coisas está mais na moda do que nunca (uma vez que já se removeu a década do “isto é spam” e cria grande valor para o anunciante). Ainda o fui cumprimentar e ainda tivermos uma picardia pelo Twitter durante a tarde. Acho que o Paulo, por mau ou bom blogger que seja (ou por mais, menos ou nenhuns artigos que meia dúzia de pessoas diz que copiou) devia aprender um pouco de humor. Do meu, ou seja, do sarcástico. Eu não tenho nada contra ele, fica aqui escrito para a posteridade.

A apresentação em Inglês que gostei mais foi a do Scott, especialmente quando lhe perguntei se ele ia ao IRC falar com os users normais saiu-lhe uma do “eu sou chefe, posso fazer o que quiser” e fiquei sem palavras até à hora do almoço (ou seja, 10 minutos depois). Foi genial. Adorei o à vontade do homem!

Fui almoçar ao Chinês do Alvalaxia porque não achei que podia gostar da comida biológica que iam servir. E pelos comentários, não devia ter ido sozinho… mas pronto, foi o que foi e vim de barriga cheia para a segunda parte.

Destaco também a Ana Silva pela non-entirely-WordPress talk que se encaixou muito bem ali para tirar um jeito de geekice à coisa.

Mas… o André, grande André Luís e grande talk que foi! Aprendi tanto com aquele bocadinho e vou já começar, mesmo neste site, a redefinir alguns parâmetros de licença para enquadrar melhor alguns sites em termos legais e até morais. Foi sem dúvida a melhor talk que vi.

E claro, o José Fontainhas, com o qual já tinha falado num meetup do WordPress, tive oportunidade de falar com ele novamente e parece-me uma pessoa super porreira.

Agora posto isto… vamos ao que muitos esperam

Há alguns dias neste blog postei uma falha de segurança que podia ter ainda mais sucesso com o WordPress. Após esta publicação, alguém deve ter andado a “experimentar” o script uma vez que alguns sites ficaram offline. O script chama-se kleep dead e o artigo pode ser encontrado aqui.
Tal como prometi, depois do WordCamp iria divulgar a regra. E para quem a quiser, aqui está. Basta ler os comentários (em Inglês) e aplicar ao mod_security pelo WHM ou no ficheiro por SSH. Alguma dúvida, é postarem.

Download/visualização da regra

Rui

PS: obirgado ao @keoshi pela imagem da câmara!

Como dono do Tugaleaks tenho um objetivo: garantir a segurança do meu servidor. Constantemente recebo ataques e tenho IPs bloqueados. mod_security, mod_noloris, mod_reqtimeout e outros são ferramentas do dia-a-dia que ao não usar, deixava todos os meus negócios estancados, dada a complexidade e notoriedade que este e outros sites têm.

O problema

Há cerca de três semanas vi um ataque bastante bom e rápido: o meu servidor com loads de 30 e memória a 100% em menos de 20 segundos. Obviamente que fiquei em pânico e pus-me logo de htop aberto a vasculhar a coisa. Nada. Nadinha de nada. Achei grave, tendo em conta que o htop, para quem não conhece, detalha muito melhor que o comando top. Decidi então investigar os logs.
Os logs eram compostos por pedidos HEAD a um site com o URL a terminar em /?s=#### onde #### ernm palavras random. E depressa cheguei ao WordPress como o causador do problema. Atenção que para já indico não ser um problema totalmente ligado ao WordPress mas bastante facilitado pelo WordPress, uma vez que podemos fazer pesquisas diretas usando o url /?s=termodepesquisa. Por exemplo uma pesquisa de canalmail neste site com link direto vai retornar imediatamente as pesquisas.
E neste campo os plugins de cache também não ajudam pois é algo que também é impossível de travar com pesquisas ao calhas. Então, tinha o servidor há meia hora sob ataque e não sabia como parar.

As experiências

Pensei ser do problema do ficheiro.php.kkk onde o kkk é uma extensão não reconhecida que é executado indevidamente no Apache com as configurações defaut (mais info aqui) e logo pensei ser problema do mod_noloris mal configurado.
Nada disso era. Recompilei o apache e já lá iam 50 minutos.
Entretanto alguém num canal da AnonOps (rede Internacional dos Anonymous) deu-me a dica do exploit  CVE-2011-3192 mas não fazia sentido porque tinha feito update do Apache mesmo há minutos e os logs não eram “iguais” aos que daquele exploit produzia.
Até que passado uma hora, finalmente encontrei o bichinho. Chama-se keep alive dos script e foi criado por alguém que depois de conhecer comecei a idolaterar. Scripts para forçar SEO, scripts bastantes interessantes e este keep alive é o culminar de uma awesomeness enorme deste senhor.
O engraçado é o nome, pois keep alive supostamente refere-se ao KeepAlive On/Off do httpd.conf (ficheiro de configurações do Apache) e mesmo com isso Off o problema continua.

A solução

Tentei mitigar com PHP Caching e EAccelerator e nada. Entretanto andava a bloquear os IPs todos à mão, e dei mais de 100 blocks numa noite apenas.
Já em contacto com a cPanel team e escalado em menos de 5 horas para os devolopers tirei a ideia que o melhor era bloquear com uma regra de mod_security. E foi o que fiz.

A regra… pois, essa é a parte que vem a seguir.

O WordPress ajudou a criar problemas

Se há coisa que não gosto no WordPress é o registo de utilizadores e agora a pesquisa. Não encontrei addons para limitar pesquisas, ou poupar de alguma forma recursos de pesquisa em MySQL.
Por exemplo no SMF a pesquisa pode ser limitada e aí o PHP Caching já ajuda imenso e resolve o problema sem ser preciso mais nada.
Mas o WordPress com a sua pesquisa básica (bastante básica) cria um imenso problema.
Ora, para quem sabe eu vou estar presente este sábado no WordCamp, e pretendo expor a quem quiser ouvir (ou naquelas coisas que dizem ter experts do WordPress) este problema.

A regra de ouro para parar este ataque

É simples: com mod_security fazer um block com REQUEST_METHOD, gravar dados num ficheiro, ver se o HEAD count é X em X segundos e usar a lfd para dar block temporário ou definitivo ao IP atacante. E tudo isto, em menos de 1 segundo.
No Domingo após falar com o pessoal do WordPress vou colocar aqui no blog esta regra. No entanto, e antes que comecem a criticar, este não é uma tentativa de hacking geral ou de lançar o pânico na Web Portuguesa (como se fosse eu a fazer isso). É apenas um teste e um problema real com que me deparei. E desta forma, estou a ajudar outros a preveni-lo.
E por não ser uma tentativa de lançar o pânico, a regra vai estar disponível para os ISPs, SPs e donos de servidores através do meu e-mail mail@ruicruz.pt para que não sejam afetados. Basta pedir. No entanto, não a divulgo para ver o que “acontece” no WordCamp.
E faço isto, com consciência, porque sei que o WordPress pode melhorar. Mas como decidiram ignorar (ou pelo menos a não responder) a mensagem que enviei para o security@wordpress.org, aqui fica o meu “agradecimento”.

WordPress, eu amo-te. Mas tu deste-me hora e meia de serviços web offline e muitas mais horas de dor de cabeça. Ainda assim, é o meu CMS preferido.

Rui

O meu dilema semanal começa quando me inscrevo no WordCamp Lisboa 2011 a realizar a 24 de Setembro. Obviamente que esperava ir como um gajo normal, pacifico e certamente geek. Mas foi aí que percebi não ser esse o objetivo que eu tinha traçado para mim mesmo: devo fazer-me notar (para variar). A questão é… se pela positiva, ou pela negativa.

Para isso, aloquei parte do meu cérebro para tentar arranjar a melhor pior forma de me reconhecerem, e tenho duas ideias:

•  Usar a t-shirt do Tugaleaks

O Tugaleaks é um site que nos últimos 9 meses usou WordPress para divulgar conteúdos que outros canais de media não divulgam, como notícias de corrupção, leaks de informações priviligiadas, defaces de sites nacionais, entre outras.
É o site que, volta e meia, recebe a atenção dos media por estar relacionados em termos noticiosos com o grupo emergente de Anonymous em Portugal

• Usar a t-shirt do Procuro Uma Namorada

O Procuro Uma Namorada é um site feito também em WordPress que é pessoalmente ambicioso e único: em vez de me contentar com o que vejo na rua ou nos meios por onde ando, procuro pela Internet a pessoa que consegue bastantes coisas em comum além de respirar, comer e dormir.

Os dois sites, dos quais tenho t-shirts, representam dois exemplos das dezenas de sites que tenho e representam o bom que o WordPress oferece.

Dia 24 lá estarei. Se quiseres marcar um almoço, podes também faze-lo deixando nos comentários.
A inscrição custa 30EUR mas até 7 de Setembro custa 20EUR.

It’s WordPress time. Let’s bring it!

Rui

PS: vai na volta está a chover, e este artigo não serviu para nada

UPDATE: se quiseres 25% de desconto, o DicasWP está a oferecer dois bilhetes