WordPress xmlrpc DDOS mitigation

Publicada el 27 septiembre, 2014 por vicm3

Well not long ago DH contacted me with this dreaded message:

Hello,

I’m writing you about your domain:

foo.bar

Specifically the file:

xmlrpc.php

This file is used for modifying your wordpress install from 3rd party programs, like mobile site designers, desktop client programs, and pretty much anything besides the wordpress control panel under wp-admin.  Bots and hackers have been increasingly attacking these files listed above to try to either brute force into the wordpress installs, or cause other downtime and server issues.  Our security team is working on blocks and protections to prevent these, but in the meantime this is causing server issues and downtime for your site, so our oncall admin has had to disable the file by changing permissions to 200 so it isn’t accessible.  If you don’t use external programs to modify this blog, you likely won’t even notice any chance in behavior and it can remain.  If you do make use of this file, when you next need to use it it can be re-enabled by chmod. If you have further questions please let us know.

This was on august 3… I suppose we where part of a severe DDOS that were targeting third party sites… BTW this was fixed with mod_rewrite hack on .htaccess [1].

Two weeks ago we got report for another site I run, this time on a bigger VPS, that we where participating on an ongoing DDOS [2] that we also caught as our machine resources were drawn terribly.

Yesterday we got visits again, of course we were aware of the problem and originally chmoded 000 the file, dropped via iptables 3 subnets that where hammering it and all was good, but as you can read on several places disabling this file breaks several functions of WordPress [3].

So as we use nginx as front end, begin to investigate if like on apache or lighty could exist something like mod_evasive and indeed exists [2] it’s called  mod_http_limit_req_module so after reading the documentation, I searched for examples and find a very good one that inspired this setup [4] so we ended with the next changes on nginx.conf:

# Prevent DDOS
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/m;

So we are limiting request to 1 request for minute, but as you could imagine we don’t want this for all the site, so next on the site conf we added

location = /xmlrpc.php
{
limit_req zone=one burst=5;
}

So we had 1 connection for minute on this file and a burst of five, but as this guys where hammering at more than one connection per second, well I suspect going to get a lot of 503 messages, I only expect that normal sites and ourselves not need this file more than one time for minute… on the bright side CPU, IO, and other resources are normal now, BTW some better advice if you don’t manage a server but had only access to .htaccess can be found here [1]

Update: 26/10/2014 We ended having to tweak the limiting as WordPress itself uses to connect to the file so we ended limiting ourselves the fix was to change on the first one to limit to  six request per second instead of minute:

# Prevent DDOS
limit_req_zone $binary_remote_addr zone=one:10m rate=6r/s;

And on site config to change for:

location = /xmlrpc.php
{
limit_req zone=one burst=7 nodelay;
}

As the docs says if you want no delay you had to add and also thinking that most modern browsers make up to 16 simultaneous connections [6] we upped the number but we don’t expect to have 16 request per second to this file.

[1]https://wordpress.org/support/topic/resolving-xmlrpcphp-ddos-attack-with-htaccess-redirect
[2] http://blog.sucuri.net/2014/03/more-than-162000-wordpress-sites-used-for-distributed-denial-of-service-attack.html
[3] https://wordpress.org/support/topic/xmlrpcphp-attack-on-wordpress-38
[4] http://nginx.org/en/docs/http/ngx_http_limit_req_module.html
[5] https://cowthink.org/flood-dos-protection-with-limit-req-in-nginx/
[6] http://kb.mozillazine.org/Network.http.max-connections-per-server

Publicado en planetalinux, sysadmin, Web | Etiquetado , , , , , | Deja un comentario

Anacronismos

Publicada el 26 septiembre, 2014 por vicm3

Anoche en la linea 12 del metro en las pantallas que tienen los vagones me encontré con dos anuncios que me llamaron mucho la atención de uno quiero escribir hace un rato, y es del que voy a abordar primero, puede por supuesto que me equivoque pero la primera vez que lo vi en las pantallas fue el 22 de septiembre especialmente habla de la consulta para que uno vote por el gasto delegacional, dice que el 3% del gasto lo deciden los ciudadanos y tiene unas animaciones interesantes que hablan sobre lo que necesitamos y podemos pedir, pero el gran problema es que al final nos recuerda que la fecha limite para enviar propuestas es el 19 de septiembre.

El otro habla sobre cuidar el metro y aunque supongo también tiene audio, el mismo lo tenia muy bajo cuando lo he visto, especialmente me parece muy interesante que dice sobre tirar la basura en los botes designados para esto, hace varios meses en contactando por twitter al metro nos contestaron «los botes de basura están siendo retirados de las estaciones, es una medida de seguridad» [1] (SIC), entonces si quiera que en su anuncio donde se ve una bonita estación de la línea 3, quiten el bote de basura que tiene meses de no existir dentro del metro.

[1] https://twitter.com/elavenger10/status/426721453082284032

Publicado en Debraye, General, Web | Deja un comentario

Sobre el reglamento del IPN

Publicada el 26 septiembre, 2014 por vicm3

Y bueno mucho se ha escrito recientemente sobre los cambios del reglamento interno del IPN, especialmente he visto circular en FB el siguiente mensaje:

• El artículo 47, plantea que un alumno que adeude una unidad de aprendizaje por más de dos semestres posteriores al que se cursó, sí el consejo no aprueba su dictamen, causará baja definitiva del Instituto.
• Se elimina el artículo 55 del actual reglamento en el que se estipulaba la opción que tenía el alumno de solicitar una baja temporal.
• En el artículo 56 al 60 se estipula que las autoridades tendrán todo el poder de sancionar a cualquier alumno que incurra en un acto que afecte el “buen orden” del plantel.
• Las cuotas que se consideraban donativos, son obligatorios en todas las escuelas del IPN. Se le cobrará una cuota a todo alumno que quiera participar en un taller, actividad deportiva o cultural que la escuela ofrezca.
• El reglamento abre las puertas a la iniciativa privada. Otorgan permisos a particulares ajenos al Politécnico. Del aprovechamiento y explotación de los espacios físicos en los planteles que así lo requieran. Citando el artículo 34: “Las acciones de vinculación que lleve a cabo el Instituto podrán generar ingresos adicionales, como complemento a los recursos que recibe de la Federación, con el objeto de fortalecer el desarrollo de sus actividades y apoyar la realización de nuevos proyectos.”
• Se elimina el principio de que para tomar un cargo de directivo se deberá ser egresado del IPN, abriendo paso a egresados de otras instituciones.
• Se fomentarán nuevas relaciones con la iniciativa privada, sin especificar en qué manera esto podría servir de apoyo a los estudiantes que quieran vincularse en el mercado laboral.

Aunque el nuevo reglamento interno aún no se publica el que existe se puede consultar en la página del IPN [1] y se puede descargar [2] en especial dice lo siguiente los artículos actuales:

Artículo 47. El Instituto impulsará la calidad y pertinencia de la investigación básica y aplicada, orientando sus resultados hacia la solución de problemas en áreas estratégicas para el desarrollo nacional.

Artículo 55. El Instituto realizará las funciones de extensión académica a través de sus escuelas, centros y unidades ofreciendo servicios educativos no formales en los términos de los reglamentos y convocatorias correspondientes.

Como podemos ver hasta acá los numerales no corresponden con lo que dice el reglamento actual, habrá que ver que dice del nuevo reglamento que según comunicado de prensa del IPN [3] viene el como se realizo y algunas generalidades pero no cuales son los cambios específicos, en el mensaje habla de los numerales 55 al 60 sobre alumnos, que en realidad serian del 77 al 82 del actual, por lo tanto y no dudo que haya cambios que si modifican de maneras complejas la vida del IPN, puedo suponer que o solo están presentes en el nuevo reglamento el cual en una búsqueda  general no es posible encontrar entre los documentos publicados en propio politécnico, es decir la fuente confiable y ultima, por lo cual me queda la duda de a que versión se refieren las quejas y los medios de comunicación, y si es que han tenido acceso a la misma y si no es a una múltiple modificación de reglamentación a lo que realmente respecta todo el problema, por supuesto este es un ejercicio breve de revisión pero hay que hacer un trabajo más fino y parece que en ese sentido hay quien como en otras ocasiones anda pescando en río revuelto, más problemático aún los medios tradicionales, no parecen haber consultado los documentos en disputa, al menos todavía.

Haciendo una segunda revisión queda mas claro, el reglamento que se pretende modificar es el Reglamento General de Estudios [4] aunque del que se aprobó modificación es del Reglamento Interno, por lo mismo hay varios articulos y publicaciones tanto en medios como en FB que mezclan el proyecto de nuevo reglamento general de estudios con el reglamento interno del IPN y otros más que se antoja a propósito lo plantean como el mismo, pero el Proyecto del nuevo tampoco se puede consultar en la página del IPN y en los artículos que he revisado de manera rápida tampoco hay más allá de un análisis de los cambios y no el texto en especifico ni manera de consultar el texto en extenso.

Actualización 27/9/14 Ya esta en la página del IPN [5] el nuevo reglamento interno, por supuesto todavia falta por conocer el reglamento general de estudios, Yaris en los comentarios coloco un vinculo a un antre proyecto del interno

[1] http://www.abogadogeneral.ipn.mx/Normatividad/Paginas/Reglamentos.aspx
[2] http://www.aplicaciones.abogadogeneral.ipn.mx/reglamentos/reglamento-interno.pdf
[3] http://www.repositoriodigital.ipn.mx/bitstream/handle/123456789/20089/COM-243-2014.pdf?sequence=1
[4]http://www.aplicaciones.abogadogeneral.ipn.mx/PDFS/Normatividad/RGE_13_06_2011.pdf
[5] http://www.ipn.mx/Documents/Reglamento-Interno-CGC24-SEP-2014.pdf

Publicado en Educación, General, Web | Etiquetado , , , , | 8 comentarios

Iluminación en el Zocalo

Publicada el 23 septiembre, 2014 por vicm3

Es bien probable que la memoria me ya me juegue malas pasadas, pero para este caso tengo evidencia, cuando era pequeño recuerdo que por estas fechas el Zocalo se encontraba iluminado y había un montón de adornos y luces, solo opacado por los que ponen en Navidad…

Este año me di una vuelta y esto fue con lo que me encontré.

IMG14825  IMG14832IMG14835

Si es bastante probable que a la distancia las cosas me parecieran más luminosas entonces, pero ahora creo que pudieron haber puesto alguna cosa más vistosa, que de los significados casi estoy seguro que MAP me puede decir que hay muchos mas de los que probablemente atisbo y sospecho incluyeron muchas cosas que tienen que ver con los mexicanos que en muchas ocasiones no son tan representados en nuestro discurso y acción.

Publicado en Debraye, Educación | Etiquetado , , | 3 comentarios

unattended-upgrades

Publicada el 23 septiembre, 2014 por vicm3

Dpkg::Pre-Invoke {"mount -o remount,exec /tmp";};
DPkg::Post-Invoke {"mount -o remount,noexec /tmp";};

Quick hack as I use a noexec (nosuid, or whichever) /tmp on /etc/apt/apt.conf.d/50unattended-upgrades we need to tell to dpkg to change /tmp or some packages that need pre configuring will fail.

Publicado en General, planetalinux, sysadmin, Trabajo | Etiquetado , , , , , , | Deja un comentario

Ciberespacio y capitalismo inmaterial

Publicada el 22 septiembre, 2014 por vicm3

No tan recientemente fui a una mesa redonda a la UNAM sobre cibersociedad o algo similar, ya encontré el nombre «Ciberespacio y capitalismo inmaterial en América Latina y el Caribe: claves de la nueva dependencia en el siglo XXI» (el 25 de marzo), el chiste es que originalmente me habían invitado para participar como ponente, como se me cruzaron cosas no confirme pero de todas formas el tema me pareció muy interesante y con todo que ya era por la tarde me asome al seminario y me encontré con cosas bastante interesantes que no había reflexionado o que al menos no había tomado en serio.

Si necesito estudiar el posgrado, quiero trabajar con estudiantes de posgrado y no por hacer menos o diferenciar de mis estudiantes de licenciatura, pero si se pueden trabajar temas diferentes y hacer cosas diferentes en ambos casos.

Acercarme de nuevo al campo de la sociología me fue grato, escuchar revisiones teóricas de temas complejos y también de temas actuales, emergentes y presentes en la realidad cotidiana con la elaboración teórica y miradas desde la sociología fue refrescante e interesante, por no decir que también requirió de toda mi atención para regresar al lenguaje requerido para entender las exposiciones.

Es preocupante, que a esos niveles más de uno no entienda el porqué la necesidad de software libre y de hardware libre o sin ir mas lejos de la posibilidad de auditar el código, entiendo que hay disciplinas diferentes y que por supuesto tenemos visiones distintas, pero poner atención en la exposición de los propios compañeros de exposición y al menos de un servidor como buen preguntón, al menos serviría para reflexionar sobre el estado de cosas.

Publicado en Debraye, Educación, General, Trabajo | Etiquetado , , , , | Deja un comentario

August: Osage county (2013)

Publicada el 15 septiembre, 2014 por vicm3

Sé que hablar de uno mismo siempre sera poco honesto, ya sea por lo mucho que se conoce o por lo mucho que se desconoce uno mismo, en efecto esta película no la tenia ni cercana o siquiera considerada para mirar, sin embargo tal cual he escrito por otras partes en el blog me da por escribir para mi mismo y puede que bien sea este el caso, así que estimado lector si no hace demasiado sentido lo que sigue a continuación es muy probable que sea porque no lo tiene en primer lugar.

Life is very long.” -T.S. Elliot. ..Not the first person to say it, certainly not the first person to think it. But he’s given credit for it because he bothered to write it down. So if you say it, you have to say his name after it. “Life is very long.” – T.S. Eliot. Absolutely god damn right..” Beverly Weston

Violet Weston: You can’t do this! This is my house! This is my house!
Barbara Weston: You don’t get it, do you? You don’t get it! I AM running things now!

Ivy Weston: Mom, Charles and I…
Barbara Weston: Little Charles.
Ivy Weston: Barbara.
Barbara Weston: You got to say Little Charles or she’s not gonna know who you’re talking about.

Barbara Weston: Listen to me! Die after me, alright. I don’t care what else you do, where you go, cause I screwed up your life, but just survive. Please!

De hecho tal vez de haber visto el trailer me hubiera animado a ver la película en cine, ademas de que el mismo tiene un par de citas más que no puse porque me parecían spoilers y resulta que no, que de plano son lo que vende la película.

Publicado en Debraye, General, Web | Deja un comentario

Someone, not me has to say it

Publicada el 15 septiembre, 2014 por vicm3

«Back in the 1920s-1940s as cars became more popular, more people started dying in car crashes. In response, the auto manufacturers did the obvious thing and started making the cars stronger and stronger. And people kept dying.

It wasn’t until the 1950s when the first controlled crash tests were done, that they discovered that the stronger car bodies were the worst possible thing you could do. They did nothing to reduce the kinetic energy of the occupants before impact. The car would hit, the strong body would stop moving almost instantly, and the occupants would keep flying forward at full speed until they hit the front of the car. This is what led to the crumple zones we have today – where the car body deliberately flexes and deforms to absorb crash energy, lessening the impact forces on the occupants. »

Solandri at /.

With dedication to my mother in law on about «why now the cars are made of plastic and don’t withstand a crash?»… but people do better, even when she don’t believes me.

An image tells more than thousand words, they say.

Publicado en Debraye, General, Web | Etiquetado , , | Deja un comentario

¿Se puede correr?

Publicada el 11 septiembre, 2014 por vicm3

Recién escribía sobre lo de la broma que ha estado permeando la red en videos y veo que los chicos son más ingeniosos de lo que recordaba aquí unas cuantas:

O es «¿váyansen o váyanse?»

Y entonces me vino a la mente que esto pudiera considerarse con sus asegunes como un flash mob, pero creo es estirar bastante la definición en todo caso los junto acá porque me parecen interesantes.

 

Publicado en Debraye, Educación, General, Web | Etiquetado , , , | 2 comentarios

Nuestros vecinos lo tienen más claro

Publicada el 10 septiembre, 2014 por vicm3

Es una aseveración que hice en el twitter hace unos días que justo tuvimos unas reuniones y salio lo de los cursos masivos y me quedaba en que los temas que estábamos barajando no dan para lo masivo, entonces me vino a la mente este video de ya hace un año.

Y buscando me encontré con este

Y en Facebook de pronto vi este otro…

Y si lo piensan no solo si da para lo masivo, sino que pensándolo de otra forma y por supuesto visitando http.//digital.colmex.mx, yo creo que lo tienen mucho más claro y si no denle un vistazo a este de los hechos en casa, el formato yo creo no da, ya es un tanto gastado por decirlo corto.

Peor aún la cosa no es pasarse los siguientes dos años discutiendo si debemos o no siquiera considerar el tema, al menos en el área ya se dio el paso de invitar a quienes ya están haciendo algo al respecto (Gaceta 92 UPN), sino probar y experimentar y sacar lo mejor del medio y claro como lo demuestran ambos videos tener un tema de actualidad, un experto y claro el carisma ayuda enormidades.

Nuestros vecinos lo tienen más claro, o al menos eso pienso yo… lo cual es preocupante por decir poco.

Actualización 15/10/2014: Añado un tercero en el medio, el de PISA, juntos los tres videos los estoy usando como un objeto educativo abierto, cosa muy diferente de los objetos de aprendizaje del siglo pasado, sobre lo que tengo que escribir, pero útil para mis propósitos.

Publicado en Debraye, Educación, planetalinux, Web | Etiquetado , , , , , , | 2 comentarios