Si desgraciadamente los Spammers han utilizado un fallo en la validación de los formularios de contacto de los Blogs de Nireblog para meter cabeceras que enviaban mensajes a un montón de personas.
El asunto se podía haber quedado en un tema anecdótico de no haber sido por unos detalles curiosos.
El día Domingo 15 de abril a la 1 de la mañana envían un mensaje desde nuestro proveedor de hosting inicándonos que están utilizando nuestro servidor para enviar correos Spam, diciéndonos que si en 12 horas no lo solucionamos nos desconectan el server, desgraciadamente este mensaje es detectado por Gmail como Spam y es enviado a la carpeta de Spam.
El domingo a la tarde recibo un correo de Pablo (Hontza) diciéndome que está recibiendo un montón de mensajes de Spam, yo que no leo bien el correo, entiendo que es en los comentarios (y mira que me lo pone bien clarito) y activo el Captcha (lo número y letras raros para detectar que el que escribe es una persona) para los comentarios y me piro.
Al llegar a casa recibo un correo de Lorena indicándome que Nireblog está caido, veo que hay un par de correos del Hosting indicándo que como no hemos hecho caso a su requerimiento, nos desconectan el servidor, entonces es cuando veo en la carpeta de Spam (la suelo mirar porque siempre se cuela algún mensaje válido) el correo donde nos advertían del problema.
Lorena me dice cual es el problema, están utilizando el formularios de contacto de algunos Blogs (4) para enviar correos a un montón de personas introduciendo cabeceras con BCC (con copia oculta), Subject, ... enviándoselos vete tu a saber a cuantas personas.
Desde el hosting nos dicen que nos van a activar el servidor para que hagamos los cambios oportunos, pero nos dicen que la activación tardará 2 horas, mierda !!, por suerte a los pocos minutos ya está de nuevo online.
Solución inmediata deshabilitamos el envío de correos, y ésta tarde con más calma, introduciremos unos filtros a los datos que vayan en las cabeceras para evitar ésto, o igual para más seguridad utilizar cabaceras propias y que no incluyan datos enviados desde los formularios, lo explican en este blog, y también se puede utilizar este código (me imagino que será una función de Wordpress) :
function wpcf_is_malicious($input) {
$is_malicious = false;
$bad_inputs = array("\r", "\n", "mime-version", "content-type", "cc:", "to:");
foreach($bad_inputs as $bad_input) {
if(strpos(strtolower($input), strtolower($bad_input)) !== false) {
$is_malicious = true; break;
}
}
return $is_malicious;
}
Y luego pasar los campos que rellena el usuario por esa función:
if(wpcf_is_malicious($_POST['wpcf_your_name']) ||
wpcf_is_malicious($_POST['wpcf_email'])) {
$ok = false; $reason = 'malicious';
}
Un pequeño susto que nos ha servido para aprender un poquito más, seguramente y durante algunos días, metarén nuestra IP en alguna lista negra, Yahoo creo que lo ha hecho, así que puede haber problemas con los correos enviados desde Nireblog a los nuevos usuarios, ya veremos.
Blog desde el que se irán anunciando las novedades de Nireblog
loretahur —
Yo saco una lectura muy positiva y es que hemos aprendido qué es el email injection y esto nos sirve para auditar un poco más el sistema (el que no se consuela es porque no quiere ;-)).
16-04-2007 - 11:35:30 GMT 1
Pablo Aretxabala —
La verdad es que la avalancha de spam fue la leche. En mi cuenta había 350 spams en apenas medio día!!!
Afortunadamente la cosa la pudistéis controlar, y como decís, de los fallos se aprende mucho más que de los éxitos.
17-04-2007 - 08:02:36 GMT 1
David —
Se aprende un montón, pero acojona un poquito.
17-04-2007 - 10:52:12 GMT 1
esgrau —
No se si la incidencia de la que informais en este post tiene algo que ver con la que yo sufro, desde la tarde de ayer 16 de Octubre no puedo visualizar las páginas web de mi blog "cartas a sarah" http://sj.nireblog.com
Visualizo la página que busco durante unos segundos y se producr una redireción a esta página:http://www.rojo.com/?handle=jmares
Espero alguna noticia, saludos.
17-10-2007 - 18:15:28 GMT 1