Como o meu plugin de segurança acabou por me ajudar a fazer uma queixa na PJ
Rui Cruz
Para quem não sabe eu tenho um plugin de segurança no repositório do WordPress. É algo muito simples, que vem colmatar uma falha existente em vários plugins de segurança.
Na minha opinião bloquear alguém pode não ser a melhor opção, porque podemos querer analisar os dados, e é isso que o meu plugin faz: a cada tentativa, falhada ou com sucesso, envia um mail.
Para dificultar e filtrar a coisa, eu bloqueio os acessos a quem não é de Portugal.
Como tudo começou
Portanto, quinta-feira à tarde (06 de abril) e começo a receber e-mails de tentativas de um IP da MEO. Foram algumas, mais de 90. Entretanto ia monitorizando, procurando este IP noutros serviços, e nada .
Recebe novos posts por e-mail
Quando me chatiei, alterei o meu .htaccess para bloquear o IP da pessoa e defini a página de erro para ir parar ao site da Polícia Judiciária. O código foi este, para quem quiser:
<Files “wp-login.php”>
order deny,allow
deny from all
allow from X.X.X.X
ErrorDocument 403 https://www.policiajudiciaria.pt/
</Files>
Confesso que fiz isto porque já estava a ficar cansado de ver alguém a entrar com o username ruicruz (que não existe) no meu próprio site. E também porque achei engraçado.
Tirei uma hora depois, e estranhamente não voltei a ter mais visitas deste “amigo”. Se calhar o susto funcionou.
O que fiz com o IP
O IP, que vou não expor publicamente, porque um IP identifica uma pessoa, estava do meu lado. Por isso, decidi exportar os logs desse dia:
[root@servidor ~]# grep X.X.X.x /var/log/apache2/domlogs/ruicruz.pt-ssl_log | wc -l 249 [root@servidor ~]# grep X.X.X.x /var/log/apache2/domlogs/ruicruz.pt-ssl_log (…) X.X.X.X – – [06/Apr/2023:16:49:42 +0100] “POST /wp-login.php HTTP/1.1” 200 9023 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)” X.X.X.X – – [06/Apr/2023:16:50:43 +0100] “POST /xmlrpc.php HTTP/1.1” 403 199 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)” X.X.X.X – – [06/Apr/2023:16:50:43 +0100] “POST /wp-login.php HTTP/1.1” 200 9023 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)” X.X.X.X – – [06/Apr/2023:16:51:44 +0100] “POST /xmlrpc.php HTTP/1.1” 403 199 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)” (…)
Se quiseres fazer o mesmo que eu, ir buscar logs, e tiveres cPanel (o painel de controlo mais usado para hosting) podes ir ao cPanel > Raw Access e depois é só filtrares num programa de texto como o Sublimetext as linhas que queres, procurando pelo IP.
Portanto, tendo o IP, tinha os logs e ainda o e-mail que o meu plugin envia.
Queixa no site da Polícia Judiciária
É possível apresentar uma queixa eletrónica no site da PJ. O site requer autenticação com o cartão de cidadão, embora depois não use estes dados para “nada”, porque acabamos por ter de preencher o nosso nome, morada, filiação, etc.
Mas, fora isso, é um excelente método para apresentarmos uma denúncia/queixa sem sairmos do sofá .
A queixa foi apresentada em pouco mais de 20 minutos, e expliquei quem era, como obtive os logs, quem tentou aceder e onde tentaram aceder.
O que espero que vá acontecer
Vamos assumir várias coisas para este meu pensamento: que este IP de Portugal não está comprometido e não é uma botnet e que foi realmente usado manualmente, tal com os logs me indicam, por uma pessoa sem autorização para tentar entrar no meu site (este site, especificamente).
O que espero depende do procurador que pegar no processo , podem mandar identificar alguém através do ISP e chamar a pessoa como testemunha, ou entrar-lhes pela casa dentro para obtenção de prova. Neste último caso, parece que o OPC (órgão de polícia criminal) em Portugal só o faz para alguns “alvos” atacados, sendo que uns são filhos e outros enteados .
Ainda assim, espero que em menos de 1 ano (prazo muito razoável) tenham identificado quem fez isto, para decidir se pretendo acusação particular .
Por este ser um crime semi-público, requer apenas a denúncia, na fase de investigação não tenho que “pagar” nada.
Em resumo: que lições podemos aprender?
Usar o meu plugin permite-nos reunirmos informaçõa do que se passa em vez de bloquearmos tudo, podendo depois agir, como fiz agora, para podermos impedir que hoje seja o Rui Cruz e amanhã outro site. Vou também analisar a eficácia deste tipo de queixas em 2023 e, se for caso disso, prosseguir com uma queixa para que a pessoa tenha consciência do que fez.
Por outro lado, se este tipo de conteúdos te interessam, aproveita também a minha talk sobre segurança em WordPress no WordCamp Lisboa a realizar em maio deste ano, em Lisboa. Podes saber aqui mais informações sobre isso.
De resto, prometo que continuarei a manter este assunto atualizado sempre que possível.