Há alguns dias várias amigos da blogosfera vêm sofrendo problemas referente a queda de seus blogs. Alguns dos seus bebês são hospedados por uma empresa que sou sócio.

De vez em quando, dou uma olhada nos servidores e tal, tudo para continuar com a prática de fuçador ou como dizem por aí, escovador de bits.

Eis que me deparei com o caso da vulnerabilidade que é descrita neste link, e isso foi há 5 dias, quero dizer, no dia 01 de Agosto.

Mudei parâmetro aqui, configuração ali, mas nada de resolver o problema.

Eis que resolvo fuçar os logs do firewall, de utilização de memória, do nginx e tudo mais, e descubro algumas chamadas, para lá de muito estranhas, junto ao xmlrpc.php. Resolvo movê-lo, só para tirar a pulga atrás da orelha e faço um restart de todos os componentes deste ambiente.

Para surpresa geral da nação rubro-negra, tudo volta a funcionar.

Porra, pergunto eu, que diabos que está acontecendo, isso é um ataque novo ?

Sim, é um ataque novo, que vc foi um daqueles que percebeu logo no início, como um câncer, mas devido a sua falta de tempo em analisá-lo com mais afinco, o pessoal divulgou antes que vc a descoberta.. Caralho ao quadrado.

Um simples sniffer na interface de rede, com um filtro http, pegaria o exploit no xmlrpc. E foi isso que eu fiz. Mas cadê o tempo para divulgar esta porra ? Lá na casa do caralho.

Pois é, fazer o que.. Mais uma lição aprendida..

O que posso afirmar é que o pessoal da Break faz uma excelente análise, um puta poc e apresentou a vulnerabilidade e o seu fix, dois para ser mais exato.

E voltamos a nossa programação normal que é, vamos estudar e aprender, pq não servi nem para ser jogador de futebol.

O Coruja de ti não sofreu qualquer instabilidade, pois utilizo o cloudy proxy da sucuri, e este foi o responsável por ter me dado a luz quanto ao problema, já que ele possui monitoração real-time de todo o tráfego que o blog recebe e responde.

Atualização:

Os gráficos que tenho acesso quanto a utilização de CPU e memória dos servidores linux que foram afetados pelo ataque apontam um crescimento, da casa dos mais de 50%, quanto a utilização destes recursos, onde estes poderiam ser exauridos devido a fatores como má parametrização ou um ataque mais parrudo, digamos assim, algo mais focado, onde o cracker utilizava mais hosts ou bots para ferrar o alvo.