Banimento do script TimThumb dos servidores da PortoFácil

Arrá! Um TimThumb dando mole!

Desde o dia 03 de agosto de 2011 que foi exposta uma vulnerabilidade grave no script TimThumb, usado para gerar miniaturas de imagens e amplamente utilizado em muitos “templates” de WordPress. A falha permite que um invasor envie um arquivo executável para o servidor e com isso ganhe o controle da máquina. Kits de exploração da falha incluem a instalação automática de backdoors no servidor, a fim de rodar servidores de jogos, de IRC ou outros, de maneira não autorizada, bem como facultar posterior acesso facilitado ao invasor.

Sempre repudiamos o uso do TimThumb, principalmente em sites de alta visitação, porque ele consome muito processamento, tornando os sites lentos pela sobrecarga nos servidores.

Agora, vamos banir o TimThumb de nossos servidores, devido à falha que está sendo amplamente explorada.

Como se dá a invasão pelo TimThumb

Como dissemos acima, o TimThumb faculta a um invasor subir um arquivo executável para o servidor. O truque consiste em disfarçar tal executável como se fosse uma imagem, burlando assim o sistema de segurança do script.

Uma vez que este executável rode uma vez no servidor, haverá várias portas abertas para que o invasor faça o que bem entender no servidor. Se for um invasor imbecil, ele fará o “defacement” (desfiguração) de todos os sites que ele puder acessar, deixando claro que ele se acha muito importante por ter conseguido isso. Mas se for um invasor mais esperto ele vai tentar ficar o mais oculto possível, apenas instalando seus sistemas sem necessariamente afetar a parte visível dos sites.

As diversas versões do TimThumb

Naturalmente, o autor do TimThumb agiu assim que veio a público a vulnerabilidade de seu script, e atualizou-o de forma a fechar as portas que estavam abertas.

As produtoras de “templates” comerciais para WordPress logo atualizaram seus arquivos, e disponibilizaram a atualização para os clientes. O mesmo com os templates gratuitos que usam o script.

Entretanto, vergonhosamente, muitos de nossos clientes usam versões piratas — logo, sem direito a upgrades de segurança — dos templates comerciais, pondo em risco todo o seu trabalho.

Como faremos a erradicação do TimThumb

Na verdade, apenas as versões comprovadamente ou potencialmente comprometidas do TimThumb que forem encontradas nos servidores serão excluídas. Isso inclui versões antigas do script, bem como versões modificadas que excluam o cabeçalho original do mesmo.

Inicialmente faremos a inspeção manual de cada um dos servidores e VPSs em busca dos scripts “bichados”. Excluiremos os arquivos comprometidos, e avisaremos cada cliente por meio de chamados de suporte.

Encerrada essa primeira fase, escreveremos um “bot” que automaticamente identificará e removerá as versões inseguras do script do servidor.

O que fazer em caso de invasão, mesmo que mera suspeita

Caso você desconfie que seu servidor possa ter sido comprometido por esta falha de segurança, abra um chamado de suporte imediatamente explicando por que você acha isso, que faremos a verificação para você.

Casa de ferreiro, espeto de pau

Para evitar problemas, você mesmo pode excluir o TimThumb de seus blogs, tomando o cuidado de apagar os arquivos do servidor, e não meramente desativando plugins ou temas fora de uso.

Há dois dias nosso site foi invadido devido à existência de uma instância do TimThumb em um diretório de um template que não está mais em uso no nosso WordPress há pelo menos dois anos. Que a nossa dor sirva de exemplo, e você não precise passar pelo mesmo dissabor.

Related posts:

1. Privacidade, Anonimato, Direito Autoral e os Servidores da PortoFácil
2. Servidores Virtuais Privados – VPS – na PortoFácil
3. Servidores Virtuais Privados da PortoFácil agora com Tráfego Ilimitado

Banimento do script TimThumb dos servidores da PortoFácil é de autoria e propriedade de PortoFácil Hospedagem de sites. Reprodução terminantemente probida.

PortoFácil - Hospedagem de Sites

Dica de segurança: nomes de usuários no WHM

Uma das ameaças mais constantes que pairam sobre aqueles que têm sites na Internet diz respeito a invasões e outras quebras de segurança. Às vezes é só pelo desconforto e pela humilhação de ter sua privacidade violada, e na maioria dos casos é porque estas invasões implicam perdas relacionadas ao roubo de visitas ou à “contaminação” do domínio com material ilícito.

Métodos de invasão

Existem muitos métodos de invasão de sites, sendo que os mais comuns são a exploração de falhas de segurança de programas conhecidos (como o amaldiçoado Timthumb, que tem permitido que milhares de sites sejam contaminados com trojans, tenham seu tráfego redirecionado para sites que instalam programas de roubo de senha, e principalmente que sejam banidos do Google por serem vetores de disseminação de vírus), e a “força bruta”.

Invasão por força bruta

A invasão por força bruta consiste num método simples, que não requer muita inteligência, mas requer persistência (daí o nome “força bruta”): ficar tentando adivinhar, até acertar, o usuário e a senha de uma conta.

Invasão por força bruta e cPanel

Força Bruta e Firewall

Os servidores cPanel da PortoFácil são todos equipados com firewall por software, que entre outras funções trata do bloqueio dos IPs a partir dos quais se detectem tentativas de invasão por força bruta.

Os limites que usamos são bastante restritivos, e qualquer IP que tente por três vezes consecutivas acessar qualquer serviço errando a senha, será bloqueado, de forma a interromper imediatamente o ataque.

Aplicar a dica acima descrita aumentará consideravelmente a eficiência do sistema de defesa contra invasões por força bruta de seu servidor na PortoFácil. Não negligencie, nunca, até mesmo os mais simples aspectos de segurança relacionados aos seus sites.

Related posts:

1. Atenção com as senhas fracas no WordPress!
2. Reforce a segurança do WordPress com uma camada extra de proteção
3. Vulnerabilidade do WordPress possibilita roubo de visitas

Dica de segurança: nomes de usuários no WHM é de autoria e propriedade de PortoFácil Hospedagem de sites. Reprodução terminantemente probida.

PortoFácil - Hospedagem de Sites

Usando a criatividade para enxugar contas no WHM

Entre os cuidados que a PortoFácil toma com os servidores dos clientes inclui-se a verificação periódica do espaço em disco ocupado pelas contas de usuário, em função da limitação do cPanel em gerenciar contas muito grandes. Dentro do possível nós mesmos vamos limpando o que fica evidente que está em excesso e cuja exclusão certamente não vai causar nenhuma perda. Porém, na maioria dos casos precisamos da participação dos clientes para resolver esse problema da melhor maneira.

O clichê “dividir para conquistar” faz muito sentido quando se trata de contas grandes no servidor. O espaço em disco da máquina existe para ser usado, e é relativamente simples e barato de aumentar a capacidade de armazenamento, quando necessário. Por isto, a ideia aqui é desmembrar ao máximo possível o conteúdo dos sites em contas menores, para que todas fiquem cobertas pelo backup automático. Para não ter que editar dezenas ou centenas de páginas com as modificações podemos usar regras simples de redirecionamento que permitirão que a mudança seja o máximo possível transparente.

A seguir, ensinaremos como identificar os focos de consumo de espaço em disco, bem como ofereceremos algumas sugestões de como resolver o problema de maneira simples e criativa. Também faremos algumas considerações sobre as melhores práticas no gerenciamento das contas de usuário.

Conclusão

Com boa vontade e algum conhecimento técnico é possível implementar soluções simples para o problema de consumo excessivo de espaço em disco, eliminando o risco de as limitações do painel de controle comprometerem a integridade dos dados armazenados.

Vale lembrar que os clientes da PortoFácil podem obter ajuda personalizada para estas tarefas, basta abrir um chamado no sistema de suporte.

Related posts:

1. Ferramentas de cache agressivas para WordPress
2. Como viver feliz para sempre com seu provedor de hospedagem
3. Atenção! Contas grandes no WHM não têm backup!

Usando a criatividade para enxugar contas no WHM é de autoria e propriedade de PortoFácil Hospedagem de sites. Reprodução terminantemente probida.

PortoFácil - Hospedagem de Sites

Combate radical ao spam de comentários

Não existe sequer um blogueiro com um pouco mais de vivência que não tenha se incomodado com os insuportáveis spams de comentários. Apesar das muitas tentativas “do bem” para combater essa prática detestável, parece que os canalhas estão sempre com fôlego renovado, e sempre na vantagem.

O que é spam de comentários

Comentários enviados massivamente para blogs (e fóruns, e seja lá o que mais for), com o intuito de fazer propaganda de alguma coisa, são spam.

Normalmente esses links são para sites de conteúdo ilegal (como venda de drogas e medicamentos controlados, mas já vimos casos até mesmo de sites de promoção de tráfico de seres humanos), ou mesmo “apenas” para sites de venda de alguma bugiganga qualquer.

Por que combater spam de comentários

Combater o spam de comentários em blogs é fundamental por uma série de motivos, os principais citamos abaixo.

Fazem mal para a reputação e prejudicam o SEO

Se não bastassem outros motivos, este já seria de bom tamanho. Tanto o texto que os spammers deixam nos blogs atacados, quanto os links, prejudicam junto aos buscadores a reputação do blog.

Sem contar que um anunciante sério jamais vai querer pagar para anunciar em um site cujo dono deixa que usurpadores anunciem qualquer tipo de produto de graça!

Podem induzir seu visitante a se prejudicar

Além disso, sabemos que usuários da Web costumam ser muito crédulos, e se uma página parecer confiável (como todo blogueiro consciente se esforça para ser) eles se sentirão confortáveis para clicar em qualquer coisa que virem. É mais ou menos como “se o fulano botou isso aqui é porque é bom”, sem nem imaginarem que foram os próprios pilantras quem dejetaram a propaganda ali.

Consomem recursos

Spams de qualquer natureza consomem recursos de transporte e processamento de dados, e os comentários não são diferentes.

Considerando que normalmente os spams são feitos usando redes de zumbis, não deve ser surpresa para ninguém constatar que um ataque desses possa levar o uso de CPU no servidor às alturas, e congestionar totalmente o link de conexão à Internet (especialmente em máquinas de menores dimensões, como os VPSs 1 e 2 Turbo).

Esse consumo exagerado de recursos pode derrubar um site (e não estamos falando de algo incomum de acontecer), e até mesmo, em casos extremos, causar problemas no banco de dados ou na estrutura de arquivos do sistema.

Como combater o spam — à maneira “softcore”

Praticamente todas as plataformas de publicação contam com mecanismos de defesa contra spams de comentários e suas variações. Entre as mais populares está o Akismet, que é o método de classificação de comentários “nativo” do WordPress.

Outros plugins criam mecanismos mais ou menos elaborados com o intuito de identificar comentários legítimos, como os CAPTCHAS ou a inclusão no formulário de campos ocultos usando JavaScript.

Associados à moderação manual, estes dispositivos impedem que os spams sejam publicados automaticamente no blog, mas não impedem o ataque e o consumo de recursos implicado.

Como combater o spam — à maneira “hardcore”

Quando pedir com boas maneiras não resolve, é hora de partir para a atitude radical, e impedir totalmente o acesso dos spambots ao sistema de comentários.

Related posts:

1. Política de Spam
2. Como denunciar spam
3. Emule o Landing Sites com JavaScript

Combate radical ao spam de comentários é de autoria e propriedade de PortoFácil Hospedagem de sites. Reprodução terminantemente probida.

PortoFácil - Hospedagem de Sites

Atenção! Contas grandes no WHM não têm backup!

Uma das principais preocupações de todo administrador de sistemas (seja em que nível for) é com a integridade dos dados, a perecibilidade dos meios de armazenamento e a disponibilização de ferramentas que permitam efetuar cópias de segurança e restaurações, em caso de necessidade.

No momento da redação desse post, a política de backup da PortoFácil é a seguinte.

• Toda madrugada os backups automáticos do cPanel são executados.
• Ao final da geração dos arquivos compactados de backup, este são transferidos para um servidor de armazenamento externo, onde ficam por até cinco dias.
• Os servidores de armazenamento ficam em datacenters diferentes da máquina que gerou o backup, com o fito de aumentar a segurança dos dados.

Para a maioria dos casos, esta política (aliada ao fato de todos os nossos servidores usarem discos rígidos em RAID 10) é suficiente para manter a integridade dos dados, e em caso de eventual necessidade de restauração bastarão alguns minutos para que uma conta seja recuperada no estado do último backup realizado.

Contas gigantes

Cerca de 3% das contas de usuários rodando em nossos servidores, contudo, apresentam um problema grave: são contas gigantescas, algumas com mais de 10GB de dados.

Não que a PortoFácil tenha qualquer política que limite o tamanho das contas de usuário, longe disso!

Entretanto, existem aspectos práticos que tornam este tipo de conta um perigo silencioso para quem tem em seus sites um negócio ou meio de vida, justamente por colocarem em risco a integridade de seus dados.

Por que o backup não funciona para contas muito grandes

As razões para que o backup do cPanel não funcione em contas muito grandes são basicamente as abaixo listadas.

• O volume excessivo de informações para compactar pode levar o servidor a sobrecarga e consequente “congelamento”.
• Em casos mais extremos, o espaço em disco disponível no servidor pode esgotar, pois durante a operação de backup o sistema precisa alocar temporariamente o dobro do espaço consumido pela conta (arquivos mais bancos de dados).
• A transferência dos arquivos excessivamente grandes pode ser interrompida, gerando cópias não confiáveis nos servidores de armazenamento.
• O script de backup pode ser “assassinado” antes de estar concluído, caso sua execução exceda uma hora.

Limite aceitável para tamanhos de contas

Não existe uma regra única que defina o tamanho máximo aceitável para uma conta no WHM. Na verdade, o melhor critério deveria ser “quanto menor melhor”.

Entretanto, podemos arbitrar que um valor seguro esteja abaixo de 1GB de tamanho.

Como identificar contas gigantes

Para identificar contas potencialmente problemáticas basta acessar o WHM com a conta de administrador, ir em List Accounts e observar o valor da coluna Disk Used.

Caso tenha qualquer dificuldade para efetuar este procedimento, basta abrir um chamado, solicitando ajuda do Suporte Técnico.

Os erros mais comuns que “incham” as contas

Na maior parte das vezes as contas que acabam se tornando gigantes e perigosas nem precisariam estar assim. Só acontece esse efeito devido ao descuido do próprio usuário.

Os erros mais comuns que os usuários cometem incluem:

• arquivos de backups que são mantidos no diretório home da conta;
• arquivos temporários que nunca são eliminados;
• contas de e-mail que nunca são verificadas ou limpas, e acabam apenas como depósito de lixo eletrônico.

Conclusão

É importante deixar bem claro que a responsabilidade de efetuar cópias de segurança é do cliente, e não da hospedagem. A PortoFácil tem uma política de backups automáticos, mas eles não são mais do que uma facilidade — em hipótese alguma oferecemos garantias de que os backups estarão funcionais, principalmente no caso de contas que não sejam passíveis dos backups automáticos do cPanel.

Related posts:

1. Atenção com as senhas fracas no WordPress!
2. Como fazer backup do WordPress
3. Por que não usar domínios adicionais no cPanel

Atenção! Contas grandes no WHM não têm backup! é de autoria e propriedade de PortoFácil Hospedagem de sites. Reprodução terminantemente probida.

PortoFácil - Hospedagem de Sites

Atualize seus programas

Pesquisa e desenvolvimento são dois setores que não param na PortoFácil, pois temos o objetivo de entregar aos nossos clientes o melhor resultado possível para seu investimento.

Graças a isso temos tido a felicidade de poder inovar na configuração de nossos servidores, oferecendo tecnologias de custo muito acessível e de altíssimo desempenho muito antes que qualquer “concorrente” consiga sequer pensar em desengessar seus processos para seguir nossos passos.

Entretanto, cada cliente precisa fazer a sua parte, que é cuidar dos programas e sistemas que rodam em seus domínios, pois isso não é responsabilidade da PortoFácil (embora, muitas vezes, a gente ajude nesse quesito também).

É muito importante que seus programas estejam atualizados, principalmente sistemas de fórum e gerenciadores de conteúdo (WordPress inclusive, sem negligenciar seus plugins) porque não é à toa que os “fabricantes” disponibilizam novas versões: além de introduzir novos recursos nos sistemas, muitas falhas de segurança e melhorias de desempenho costumam ser corrigidas nas versões mais recentes dos produtos.

Mantenha seus programas atualizados. Você só tem a ganhar.

Related posts:

1. Isto é uma ordem: atualize seu WP agora!
2. Vulnerabilidade do WordPress possibilita roubo de visitas
3. Ajude o WordPress a entregar seus e-mails

Atualize seus programas é de autoria e propriedade de PortoFácil Hospedagem de sites. Reprodução terminantemente probida.

PortoFácil - Hospedagem de Sites

Atenção com as senhas fracas no WordPress!

Senhas fracas sempre foram um grande problema de segurança digital, se não o maior de todos. A maioria esmagadora dos problemas de invasões, defacements, roubo de conteúdo, ou qualquer outra ocorrência, é causada pelo usuário que deveria ser responsável pelos seus próprios dados, e não por reais falhas nos sistemas computacionais.

Agora, mais do que nunca, usuários do WordPress devem se preocupar com suas senhas, pois umas pessoas muito boas andaram desenvolvendo um sistema que faz tentativas de invasão por força bruta e armazena num banco de dados distribuído os resultados das tentativas.

Se você não captou a maldade, a ideia permite criar um grande cadastro de blogs com as respectivas senhas (fracas) para que sirva-se deles quem bem entender.

A notícia completa (em Inglês) está aqui.

Um motivo a mais para que os usuários em geral passem a levar a sério a responsabilidade que têm sobre suas senhas é uma recente decisão judicial que dá conta que empresas de hospedagem de site não são responsáveis por ataques “hacker” (sic). Particularmente, achamos que é fundamental que as pessoas se conscientizem de que são responsáveis por suas senhas, sejam do que forem, e que o desleixo pode implicar consequências e prejuízos exclusivamente para o desleixado.

Related posts:

1. Vulnerabilidade do WordPress possibilita roubo de visitas
2. O tema do WordPress pode sobrecarregar seu servidor
3. Como viver feliz para sempre com seu provedor de hospedagem

Atenção com as senhas fracas no WordPress! é de autoria e propriedade de PortoFácil Hospedagem de sites. Reprodução terminantemente probida.

PortoFácil - Hospedagem de Sites

Filezilla e problemas com firewall

Nos últimos dias tivemos várias situações de clientes que tiveram seus acessos bloqueados ao seus servidores porque o firewall destes detectara atividade de portscanning.

Portscanning, ou “varredura de portas” numa tradução livre, é simplesmente a atividade de tentar fazer com que uma máquina conecte em todas as portas TCP disponíveis em outra, com o objetivo de localizar quais portas estejam abertas.

Até aí não existe nenhum problema.

O problema é que os crackers costumam utilizar o portscanning como primeiro passo numa tentativa de invasão, justamente para tentar inferir o que está rodando no servidor, para a partir disso decidir que possíveis vulnerabilidades explorar.

Por esta razão, qualquer firewall minimamente antenado vai primar por detectar o mais cedo possível quaisquer sinais de invasão, e bloquear o acesso do possível agressor à máquina.

“E o Filezilla com isso”, você deve estar pensando.

O Filezilla é um cliente de FTP bastante popular, mas isso não é garantia de qualidade. Um dos problemas muito graves que o programa apresenta é justamente abrir uma nova conexão (chamada de passiva) em uma porta diferente para cada objeto que se vá transferir.

Como os arquivos costumam ser pequenos num website comum, bem como costumam ser transferidos múltiplos simultaneamente (mas isso não faz tanta diferença), a sucessão de portas abertas num período curto caracteriza o portscanning.

Descobrimos que o problema era com o Filezilla porque os clientes que alertaram sobre o problema foram unânimes em dizer que estavam utilizando este programa para transferir arquivos quando o problema começou.

Caso você tenha sido atingido por este problema, deve considerar tomar as seguintes atitudes.

Related posts:

1. Vulnerabilidade do WordPress possibilita roubo de visitas
2. A culpa nem sempre é do servidor!
3. Como viver feliz para sempre com seu provedor de hospedagem

Filezilla e problemas com firewall é de autoria e propriedade de PortoFácil Hospedagem de sites. Reprodução terminantemente probida.

PortoFácil - Hospedagem de Sites

Privacidade, Anonimato, Direito Autoral e os Servidores da PortoFácil

Os meios de comunicação recentemente estão dando uma certa ênfase em casos de pessoas que criam sites falsos, caluniosos, objetivando prejudicar terceiros, protegidos pela sensação de anonimato que a Internet proporciona.

É claro que a PortoFácil não se presta a oferecer serviços para moleques inconsequentes; nosso público-alvo é composto por pessoas sérias e responsáveis que levam seus sites a sério, como verdadeiros empreendimentos.

Contudo, nunca é demais relembrar as políticas da PortoFácil quanto a privacidade, anonimato e direitos autorais.

Em primeiro lugar, todos os clientes da PortoFácil são absolutamente livres para publicar o que bem entenderem em seus sites, contanto que com isto não firam nenhuma lei vigente.

Caso recebamos alguma reclamação de plágio ou qualquer outra violação de direitos autorais, nós primeiro apagamos a página e depois conversamos com o dono do site.

Caso recebamos alguma ordem judicial ou solicitação extra-judicial pedindo informações sobre o responsável por algum site, não hesitaremos em fornecer o que constar de relevante em nosso banco de dados, logs de atividades, etc.

Ou, em resumo, vale o bom senso.

Em todos estes anos de atividade da PortoFácil, apenas uma vez  tivemos que tirar uma página do ar, por plágio. O que é resultado, claro, de saber escolher bem quem faz parte desta “vizinhança”. Não é à toa que dizemos que ter seus sites hospedados nos servidores da PortoFácil é um privilégio antes de qualquer outra coisa.

Related posts:

1. Política de Direito Autoral na PortoFácil
2. Servidores Virtuais Privados – VPS – na PortoFácil
3. O Suporte da PortoFácil é para os Clientes da PortoFácil

Privacidade, Anonimato, Direito Autoral e os Servidores da PortoFácil é de autoria e propriedade de PortoFácil Hospedagem de sites. Reprodução terminantemente probida.

PortoFácil - Hospedagem de Sites

Certificados SSL Gratuitos

Essa dica vem do VIP Gustavo, webmaster do Papo de Homem. Ele precisava de uma solução acessível para implementar um certificado SSL em seu site (de forma a torná-lo acessível por https), apenas para hospedar as imagens que seriam usadas nas páginas seguras do PayPal e outros meios de pagamento pelos quais eles arrecadam doações e mensalidades de seus serviços.

O Gustavo pesquisou, e encontrou uma solução extremamente viável. Veja:

Estou usando o certificado gratuito da Startcom por enquanto, já que nenhuma transação financeira será realizada pelo https, apenas intercâmbio de imagem pra customziar o PayPal.

Tô abrindo o ticket apenas pra dar a dica do StartSSL. Não é o melhor nem o mais recomendado dos certificados SSL. Se for trabalhar com grana, definitivamente compensa assinar um GeoTrust, Verisign ou E-Trust. Mas pra quem não precisa de nada do tipo, recomendo o StartSSL:
https://www.startssl.com/

Fica a dica

Related posts:

1. Novos plugins indispensáveis para o WordPress

Certificados SSL Gratuitos é de autoria e propriedade de PortoFácil Hospedagem de sites. Reprodução terminantemente probida.

PortoFácil - Hospedagem de Sites