23 maggio 2010  4

Guerra allo spam nei pingback e trackback

BlogEngine.NET / Sicurezza 

benlogo80

L’ultima settimana è stata estremamente critica per i principali blog (incluso il mio) gestiti tramite BlogEngine.NET, a causa di un massiccio attacco di commenti di spam effettuato tramite il meccanismo di pubblicazione tramite pingbackW o trackbackW.

Dal rilascio della versione 1.6.1, gli spammer hanno avuto vita ancor meno facile, soprattutto grazie all’adozione di ReCaptcha, che ha permesso di fermare una volta per tutte l’uso dei bot automatizzati per l’invio di commenti “non desiderati”.

Ovviamente, quando si trova la porta sbarrata, si tenta di entrare dalla finestra. Ecco quindi che gli automatismi hanno cercato di violare i webservice preposti alla ricezione dei pingback (e trackback). In teoria, avrebbero dovuto fallire miseramente, dato che Akismet, StopForumSpam ed il firewall integratodovrebbero” agire indipendentemente dalla tipologia (ovvero dalla provenienza) del commento in arrivo.

In realtà, così non è stato a causa di un bug nel codice di applicazione dei filtri che, nella maggior parte dei casi, non veniva eseguito correttamente.

L’unico modo per far si che i pingback di spam venissero automaticamente messi “almeno” in moderazione era quello di impostare la voce “Aggiungi alla lista degli approvati se almeno N commenti di questo autore sono stati approvati”, con N pari a 0 (zero), nella pagina di Configurazione dei Commenti nel Pannello di Controllo di BlogEngine.NET.

Ma questa è una soluzione tampone che non permette, purtroppo, di eliminare automaticamente, per il bug di cui sopra, i pingback di spam una volta individuato l’IP di provenienza.

Fortunatamente, dopo avere avvisato immediatamente Ruslan Tur della problematica, lo stesso giorno il team di BlogEngine ha rilasciato immediatamente una patch sia per la release 1.6.0 che per la 1.6.1.

Blogengine comment Rules and Filters

Una volta applicata la patch, anche i pingback ed i trackback verranno correttamente esaminati da Akismet, StopForumSpam e dalle regole inserite nel firewall integrato. A tal proposito consiglio di mettere direttamente in eliminazione (e non in block, come da default) i commenti provenienti dall’indirizzo 69.174.246.208, che, al momento, sembra l’origine principale dell’attacco che si sta verificando in questi giorni.

Per ogni ulteriore chiarimento, lo spazio dei commenti è come sempre a vostra completa disposizione.

Esprimi il tuo giudizio

Commenti (4) -

sanghino
sanghino
24 mag 2010 alle 00:37  01
Ottimo e puntuale come sempre Cristiano.

Una curiosità, hai anche indagato su chi potrebbe essere lo spammer ? Quell'IP risulta di un ISP degli USA (ServerBeach) e interrogando i DNS sembra che su quel particolare server risiedano tre domini:
theperfumetime.com
bitswapper.net
inknami.com
Probabile che uno dei tre abbia una falla di configurazione e ospiti qualche software non proprio educato, hai fatto segnalazione anche a lor signori ?

Ciao
Cristiano
Cristiano
24 mag 2010 alle 09:47  02
@ sanghino:
In realtà non ho indagato, anche perchè l'IP segnalato è quello che, ha attacato il mio sito (e qualche altro).
Credo che ci siano altri IP incriminati.
Ad ogni modo era prioritario preparare ed applicare la patch, anche perchè avere in moderazione più di 100 pingback di spam ben sapendo che poi andavano comunque eliminati, è sempre una seccatura (meglio quindi rimuoverli alla fonte).

P.S.: perchè non mi avevi segnalato il tuo nuovo sito ? Molto interessante Wink
sanghino
sanghino
24 mag 2010 alle 09:55  03
@ Cristiano:

Non te lo avevo comunicato perchè il tema è ancora in "work in progress" ... è stato un periodo quest'ultimo mese molto pieno e non ho avuto proprio modo di terminare di sistemarlo. Poi ci sarebbe da fare anche un po' di tuning sui tag e le categorie, la procedura di migrazione ha delle lacune ...
Comunque si, quella sarà la nuova casa del blog ! ;)

Ciao e buona giornata
Cristiano
Cristiano
24 mag 2010 alle 11:36  04
@ sanghino:
Prima di andare in produzione, però, aggiorna alla 1.6.1 Wink

Pingbacks and trackbacks (2)+

Aggiungi Commento

biucitecode
  • Commento
  • Anteprima
Loading


| |   |  

Codice QR

Codice QR - cristianofino.net

Ultimi Commenti