L’ultima settimana è stata estremamente critica per i principali blog (incluso il mio) gestiti tramite BlogEngine.NET, a causa di un massiccio attacco di commenti di spam effettuato tramite il meccanismo di pubblicazione tramite pingbackW o trackbackW.
Dal rilascio della versione 1.6.1, gli spammer hanno avuto vita ancor meno facile, soprattutto grazie all’adozione di ReCaptcha, che ha permesso di fermare una volta per tutte l’uso dei bot automatizzati per l’invio di commenti “non desiderati”.
Ovviamente, quando si trova la porta sbarrata, si tenta di entrare dalla finestra. Ecco quindi che gli automatismi hanno cercato di violare i webservice preposti alla ricezione dei pingback (e trackback). In teoria, avrebbero dovuto fallire miseramente, dato che Akismet, StopForumSpam ed il firewall integrato “dovrebbero” agire indipendentemente dalla tipologia (ovvero dalla provenienza) del commento in arrivo.
In realtà, così non è stato a causa di un bug nel codice di applicazione dei filtri che, nella maggior parte dei casi, non veniva eseguito correttamente.
L’unico modo per far si che i pingback di spam venissero automaticamente messi “almeno” in moderazione era quello di impostare la voce “Aggiungi alla lista degli approvati se almeno N commenti di questo autore sono stati approvati”, con N pari a 0 (zero), nella pagina di Configurazione dei Commenti nel Pannello di Controllo di BlogEngine.NET.
Ma questa è una soluzione tampone che non permette, purtroppo, di eliminare automaticamente, per il bug di cui sopra, i pingback di spam una volta individuato l’IP di provenienza.
Fortunatamente, dopo avere avvisato immediatamente Ruslan Tur della problematica, lo stesso giorno il team di BlogEngine ha rilasciato immediatamente una patch sia per la release 1.6.0 che per la 1.6.1.
Una volta applicata la patch, anche i pingback ed i trackback verranno correttamente esaminati da Akismet, StopForumSpam e dalle regole inserite nel firewall integrato. A tal proposito consiglio di mettere direttamente in eliminazione (e non in block, come da default) i commenti provenienti dall’indirizzo 69.174.246.208, che, al momento, sembra l’origine principale dell’attacco che si sta verificando in questi giorni.
Per ogni ulteriore chiarimento, lo spazio dei commenti è come sempre a vostra completa disposizione.
