Nireblog.com/es Blog

Si desgraciadamente los Spammers han utilizado un fallo en la validación de los formularios de contacto de los Blogs de Nireblog para meter cabeceras que enviaban mensajes a un montón de personas.

El asunto se podía haber quedado en un tema anecdótico de no haber sido por unos detalles curiosos.

El día Domingo 15 de abril a la 1 de la mañana envían un mensaje desde nuestro proveedor de hosting inicándonos que están utilizando nuestro servidor para enviar correos Spam, diciéndonos que si en 12 horas no lo solucionamos nos desconectan el server, desgraciadamente este mensaje es detectado por Gmail como Spam y es enviado a la carpeta de Spam.

El domingo a la tarde recibo un correo de Pablo (Hontza) diciéndome que está recibiendo un montón de mensajes de Spam, yo que no leo bien el correo, entiendo que es en los comentarios (y mira que me lo pone bien clarito) y activo el Captcha (lo número y letras raros para detectar que el que escribe es una persona) para los comentarios y me piro.

Al llegar a casa recibo un correo de Lorena indicándome que Nireblog está caido, veo que hay un par de correos del Hosting indicándo que como no hemos hecho caso a su requerimiento, nos desconectan el servidor, entonces es cuando veo en la carpeta de Spam (la suelo mirar porque siempre se cuela algún mensaje válido) el correo donde nos advertían del problema.

Lorena me dice cual es el problema, están utilizando el formularios de contacto de algunos Blogs (4) para enviar correos a un montón de personas introduciendo cabeceras con BCC (con copia oculta), Subject, ... enviándoselos vete tu a saber a cuantas personas.

Desde el hosting nos dicen que nos van a activar el servidor para que hagamos los cambios oportunos, pero nos dicen que la activación tardará 2 horas, mierda !!, por suerte a los pocos minutos ya está de nuevo online.

Solución inmediata deshabilitamos el envío de correos, y ésta tarde con más calma, introduciremos unos filtros a los datos que vayan en las cabeceras para evitar ésto, o igual para más seguridad utilizar cabaceras propias y que no incluyan datos enviados desde los formularios, lo explican en este blog, y también se puede utilizar este código (me imagino que será una función de Wordpress) :

function wpcf_is_malicious($input) {
       $is_malicious = false;
       $bad_inputs = array("\r", "\n", "mime-version", "content-type", "cc:", "to:");
       foreach($bad_inputs as $bad_input) {
               if(strpos(strtolower($input), strtolower($bad_input)) !== false) {
                       $is_malicious = true; break;
               }
       }
       return $is_malicious;
}

Y luego pasar los campos que rellena el usuario por esa función:

if(wpcf_is_malicious($_POST['wpcf_your_name']) ||
wpcf_is_malicious($_POST['wpcf_email'])) {
               $ok = false; $reason = 'malicious';
}

Un pequeño susto que nos ha servido para aprender un poquito más, seguramente y durante algunos días, metarén nuestra IP en alguna lista negra, Yahoo creo que lo ha hecho, así que puede haber problemas con los correos enviados desde Nireblog a los nuevos usuarios, ya veremos.

Voy a explicar lo que ha pasado en Nireblog en estas últimas horas.

Primero voy a poneros en antecedentes, la semana pasada, se cambiaron los permisos de la carpeta Nireblog (sin saber por que) de manera que al intentar entrar en cualquier Blog de Nireblog daba un mensaje de No Autorización.

Rápidamente volvimos a poner los permisos como estaban antes, estuvimos mirando en los logs que podría haber sido pero no encontramos ninguna respuesta.

Ayer a la noche (23:30) volvió a pasar lo mismo, en ese momento, decidimos Lorena y yo accelerar la migración al nuevo servidor dedicado que ya estaba contratado.

Le comenté a Lorena que me parecía muy extraño el cambio de permisos en Nireblog, ya que el resto al resto de dominios alojados en la misma cuenta no les había pasado nada y podía ser algo del Hosting que nos hubiera cambiado los permisos por exceso de consumo de CPU, pero como no nos habían comentado nada, era algo muy raro.

Hoy a la tarde (20:00) voy a conectarme y me encuentro con que me pide Usuario y contraseña para acceder a Nireblog, voy a mirar el correo y descubro que tengo varios correos del Hosting.

Me dicen que por exceso de consumo de CPU han tenido que desabilitar Nireblog y que no la volverán activar, que lo sienten mucho pero que el exceso de consumo pone en riesgo el funcionamiento de su servidor.

Todo esto sin aviso previo, increible pero nada extraño a tenor de como se las gastan las compañías de Hosting (no el que te desabiliten la cuenta si no que lo hagan sin previo aviso para poder migrar a otro sitio).

Inmediatamente llamó a Lorena e iniciamos la Migración, suerte que ayer cargue todos los archivos y tan sólo hubo que actualizar la Base de Datos (No se han perdido datos), después de darnos guerra alguna cosilla a las 21:30 ya estaba activo Nireblog en el nuevo servidor (es posible que a algunos les tarde más ya que se tienen que prepagar las DNS).

Estos días puede que alguna cosa no vaya del todo bien, la migarción ha sido muy precipitada y no hemos podido hacer pruebas de su funcionamiento, por lo tanto os pedimos que nos comentéis cualquier fallo que se produzca.

Del Hosting no diré su nombre, estaba tremendamente contento con ellos, de hecho el servicio me parecía impresionante, ninguna queja, pero esta faena que nos han hecho es imperdonable.

Y ahora me hago las siguientes preguntas:

¿Qué hubiera pasado si Lorena no se hubiera encargado del Server?

¿Qué hubiera pasado si no hubieramos tenido contratado el Server?

No lo quiero ni pensar.

En fin que ha sido una hora y media de mucho stress, pedir perdón a todas las personas que no han podido acceder a su Blog y esperar que las cosas vuelvan a su situación normal (hasta estos incidentes producidos por el Hosting Nireblog siempre había estado en funcionamiento)

También lo cuenta Lorena

Estamos investigando que es lo que ha podido pasar, pero durante unas horas toda persona que quería acceder a Nireblog se le presentaba el siguiente mensaje: (Ya está solucionado)

Forbidden
You don't have permission to access / on this server.

Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.

---------------------------------------------------

Apache/1.3.36 Server at arkimia.nireblog.com Port 80

Es un problema de permisos que han sido cambiados por alguien.

Estamos hablando con nuestro proveedor de Hosting e investigando un poco en los Logs del servidor.

Lo curioso es que otros dominios que están alojados en el mismo hosting no han tenido ese problema.

Queremos pedir disculpas a todas las personas que durante este tiempo no han podido tener accesos a nireblog.com y esperamos que no se vuelva a repetir.