Το χρονικό της επίθεσης στο YouReka.gr!

Όπως θα ξέρετε, οι φανατικοί αναγνώστες μας :-), έχω φτιάξει με κάτι παλιόφιλους από την σχολή ένα site με γρίφους, το YouReka. Το site, αν και ακόμα σε πιλοτικό στάδιο, πάει πάρα πολύ καλά από επισκέψεις και πλέον έχει αποκτήσει περισσότερη ζωντάνια με την ενεργή συμμετοχή πολλών επισκεπτών που στέλνουν τις λύσεις αλλά και τους δικούς τους γρίφους.

Το YouReka είναι στημένο σε πλατφόρμα blog και συγκεκριμένα σε Wordpress. Η πλατφόρμα είναι πολύ πρακτική για τις ανάγκες του YouReka. Κάθε γρίφος δημοσιεύεται σαν ένα blog post και τα σχόλια των post χρησιμοποιούνται για ζητούν οι χρήστες, αν είναι αναγκαίο, διευκρινήσεις πάνω στον κάθε γρίφο.

Εχτές το πρωί ξεκίνησε μια συστηματική επίθεση spam στα σχόλια του site. Συγκεκριμένα στο site υπήρχε ένας γρίφος με όνομα "Κολλημένος με τα ζάρια". Κάποιο spam bot θεώρησε ότι εφόσον στη δημοσίευση υπάρχει το keyword "ζάρια", αυτή θα σχετίζεται με τζόγο. Έτσι αποφάσισε να επισκέπτεται κάθε 100 περίπου δευτερόλεπτα(!!!) το YouReka και να εισάγει στον συγκεκριμένο γρίφο ένα σχόλιο που διαφήμιζε κάθε μορφής online τζόγο. Σε λίγες ώρες η MySQL βάση του YouReka είχε πλημμυρίσει με αρκετές εκατοντάδες σχόλια που μεταφράζονται σε αρκετά MBytes spam, και κάθε λεπτό που περνούσε η κατάσταση χειροτέρευε. Πέρα από το flooding της βάσης ο spammer κατανάλωνε και πολύτιμο πληρωμένο traffic.

Το ειρωνικό της υπόθεσης είναι ότι ο spammer δεν είχε κανένα κέρδος από αυτήν την επίθεση αφού ποτέ δεν εμφανίστηκαν τα διαφημιστικά σχόλια στο site. Το YouReka προστατεύεται από το spam με δύο τρόπους:

1. Έχει γίνει ρύθμιση ώστε τα σχόλια πρέπει να ελεγθούν από κάποιον moderator πριν εμφανιστούν.
2. Έχει εγκατασταθεί το Akismet plugin στο Wordpress ώστε τα σχόλια spam να μετακινούνται άμεσα στον φάκελο των ανεπιθύμητων σχολίων.

Ωστόσο καμία από τις παραπάνω προφυλάξεις δεν προστατεύει το YouReka από τα δεινά που αναφέραμε παραπάνω. Το Akismet δεν σβήνει αυτόματα τα σχόλια (και καλά κάνει, αφού μπορεί λανθασμένα να θεωρήσει κάποιο επιθυμητό σχόλιο ως spam) οπότε η βάση δεδομένων μεγαλώνει συνεχώς!

Δοκιμάσαμε κάθε γενική και ειδική antispam ρύθμιση του Wordpress χωρίς αποτέλεσμα. Όλες οι μέθοδοι είχαν σαν αποτέλεσμα όχι την απόρριψη των σχολίων αλλά απλά την σήμανσή τους ως ανεπιθύμητα.

Αποφασίσαμε να πάρουμε δραστικά μέτρα εγκαθιστώντας επαλήθευση CAPTCHA στην ρουτίνα εισαγωγής σχολίων. Παρότι το όνομα ίσως σας ξενίζει, όλοι θα έχετε συναντήσει επαλήθευση CAPTCHA όταν συμπληρώνετε μια φόρμα σε ένα site, όπου σας ζητούν να επαληθεύσετε ότι δεν είστε κάποιο bot εισάγοντας κάποιο αλφαριθμητικό που βλέπετε παραμορφωμένο σε μια εικόνα. Μετά από αρκετή ώρα επεξεργασίας κώδικα PHP η εισαγωγή σχολίου στο YouReka προστατεύοταν από επαλήθευση CAPTCHA και το πρόβλημα είχε λυθεί. Έτσι τουλάχιστον νομίσαμε...

Είμασταν όμως αφελείς. Ο spammer ήταν πιο έξυπνος από ότι νομίζαμε. Με έκπληξη ανακαλύψαμε ότι η ροή των σχολίων spam συνεχίζοταν με τον ίδιο σταθερό ρυθμό. Πραγματικά σαστίσαμε. Ήταν αδιανόητο. Το να προσπεράσεις το CAPTCHA verification με bot είναι πρακτικά αδύνατο. Και εκεί μας ήρθε η Θεία Επιφώτηση.

Δεν θέλω να μπω σε πολύ τεχνικά θέματα. Αρκεί να πούμε ότι ο spammer εκμεταλλεύοταν ένα μικρό σχεδιαστικό λάθος στο Wordpress. Φυσικά το πρόβλημα λύθηκε και πλέον το YouReka είναι μια χαρά.

Βέβαια το θέμα δεν έμεινε εκεί. Μετά από μερικά whois queries εντόπισα την ταυτότητα του spammer. Πρόκειται για τον Bezruchenko Konstantin με έδρα την Κύπρο ο οποίος νοικιάζει server από την ολλανδική Webazilla η οποία νοικιάζει traffic από την ρώσσικη NetcatHosting. Διεθνής κομπίνα. Φυσικά ειδοποιήθηκαν οι πάροχοι για τις δράσεις του πελάτη τους αν και δεν νομίζω ότι θα κάνουν κάτι για αυτό. Για όσους ωστόσο θέλουν να σπάσουν πλάκα με ένα κάφρο spammer, το email του είναι mail@bezruk.eu και η IP από την οποία δρα είναι η 195.225.178.29. Μια έρευνα με το όνομά του στο google αποκαλύπτει και άλλες κομπίνες του εν λόγω κυρίου.

Από εδώ και πέρα όταν ένα αμφίβολης ποιότητας site μου ζητά το email για να μου στείλει spam, ξέρω ποιά διεύθυνση να δίνω...

Ελληνική μετάφραση του Slimbox

Το άρθρο αυτό αφορά μόνο ανθρώπους οι οποίοι αχολούνται, έστω ερασιτεχνικά με web design και development. Δεν θα πω πολλά για το Slimbox γιατί έτσι και αλλιώς η δημοσίευση αυτή μάλλον αφορά ανθρώπους που ήδη γνωρίζουν τι είναι αυτό. Αν πάλι απλά θέλετε την ελληνική μετάφραση του Slimbox προσπεράστε τις επόμενες 3-4 παραγράφους.

Το Slimbox.

Το Slimbox είναι ένα script γραμμένο σε JavaScript από τον Christophe Beils. Το script αναλαμβάνει να παρουσιάσει τις εικόνες σε ένα website με έναν όμορφο και πρακτικό τρόπο. Ουσιαστικά το Slimbox κατασκευάστηκε ώστε να μιμείται την συμπεριφορά ενός άλλου παλαιότερου script, του Lightbox JS v2.0, επίσης γραμμένου σε JavaScript από τον Lokesh Dhakar. Το Slimbox παρότι έχει συμβατά χαρακτηριστικά με το Lightbox είναι περισσότερο εξελιγμένο ώστε να προσφέρει περισσότερα χαρακτηριστικά σε μικρότερο μέγεθος. Δείτε ένα demo από το Slimbox κάνοντας κλικ πάνω στις μικρογραφίες των εικόνων που εμφανίζονται στην κεντρική σελίδα του ίδιου του Slimbox.

H περίπτωσή μου.

Συγκεκριμένα εγώ, ως ερασιτέχνης web developer, στήνω αυτόν τον καιρό ένα site για μια μικρή εταιρία πάνω στην πλατφόρμα του Wordpress. Η εταιρία θέλει να τους φτιάξω και μια σελίδα με μια gallery φωτογραφιών. Για αυτόν τον σκοπό χρησιμοποιώ το Wordpress plugin NextGEN Gallery του Alex Rabe, το οποίο είναι καταπληκτικό και μου έλυσε τα χέρια. Το NextGen χρησιμοποιεί ήδη ένα εφφέ σαν το SlimBox που λέγεται ThickBox αλλά δεν είναι τόσο όμορφο όσο το SlimBox ή το LightBox. Ωστόσο σου δίνει την δυνατότητα να εγκαταστήσεις μόνος σου το Slimbox και τότε το αξιοποιεί αφού κάνεις την κατάλληλη ρύθμιση.

Αν είστε web developer μπορείτε να χρησιμοποιήσετε το script αρκετά εύκολα και χωρίς περίεργες ρυθμίσεις. Αν είστε τεμπέληδες, σαν εμένα, και χρησιμοποιείτε έτοιμες πλατφόρμες CMS ή blog, όπως Drupal, Joomla, Wordpress κλπ υπάρχουν και κάποια έτοιμα plugins ώστε η εγκατάσταση του SlimBox να είναι παιχνιδάκι.

Εδώ έρχεται το Slimbox Wordpress Plugin του Giuseppe Argento. Το plugin αυτό περιέχει και εγκαθιστά την τελευταία έκδοση του Slimbox σε Wordpress blogs πανεύκολα (Παρότι το plugin βρίσκεται αυτή τη στιγμή στην έκδοση 1.0 περιέχει την τελευταία έκδοση του Slimbox που είναι η 1.41). Εγώ το χρησιμοποίησα για να εγκαταστήσω το Slimbox στο site του πελάτη μου, ώστε να χρησιμοποιηθεί τελικά από το NextGEN. Το θέμα είναι ότι οι λιγοστές λέξεις μέσα στο Slimbox (όπως τα link για μετάβαση στην επόμενη ή στην προηγούμενη εικόνα μιας gallery) είναι στα αγγλικά ενώ εγώ τις θέλω στα ελληνικά. Έτσι αποφάσισα να το μεταφράσω.

Σχετικά με την μετάφραση.

Στην αρχή μου φάνηκε ότι η μετάφραση ενός script θα ήταν εύκολη εργασία 5 λεπτών. Δεν είχα πάρει υπόψη μου όμως δύο γεγονότα. Πρώτον, μερικές λέξεις στο Slimbox είναι αποθηκευμένες σε εικόνες. Δεύτερον η άμεση αντικατάσταση των αλφαριθμητικών στο script, με χρήση του PSPad ως script editor, δεν είχε αποτέλεσμα αφού το site ήταν σε κωδικοσελίδα UTF8.

Η πρώτη δυσκολία ξεπεράστηκε με λίγη επεξεργασία εικόνας και η δεύτερη ξεπεράστηκε χρησιμοποιώντας κώδικούς χαρακτήρων Unicode στην θέση των αλφαριθμητικών του script.

Η όλη δουλειά μου πήρε καμιά ωρίτσα αλλά για να μην παιδεύεστε και εσείς, παρακάτω ακολουθούν links για τις εξελληνισμένες εκδόσεις, όπως τις έφτιαξα.

Επιτέλους οι μεταφράσεις

Slimbox 1.41 by Cristophe Beyl (GR_EL translation by Nick Mouratidis)

Slimbox Plugin for Wordpress 1.0 by Giuseppe Argento (GR_EL translation by Nick Mouratidis)

keywords: slimbox, lightbox, thickbox, translate, translation, greek, el, ell, μετάφραση, ελληνικά

942.105,58 € (συμπ/νου ΦΠΑ 19%) Να τ' αφήσω;

Καλή Χρονιά ρε!

Τι καλή δηλαδή, αφού με αυτά που διαβάζω σκέφτομαι να μετακομίσω σύντομα κατά Μπανανία μεριά.

Την ώρα που για άλλη μια φορά δεν με έπιανε ύπνος χτες το βράδυ, έπεσα πάνω σε μια είδηση σε ένα τεχνολογικό forum που αφορούσε το portal του Δήμου Αθηναίων. Σύμφωνα με αυτή την είδηση, το κόστος κατασκευής και λειτουργίας του εν λόγω portal, ανέρχεται στα 942.105,58 € και πήρε 2 χρόνια για να φτιαχτεί!

Και δεν είναι καν handmade, καθώς βασίζεται στην πλατφόρμα Drupal σύμφωνα με την εταιρεία κατασκευής του. Σε αντιστοιχία, είναι σαν ένας χρήστης να έφτιαξε μια προσωπική σελίδα σε WordPress.

Και άντε να δεχτώ ότι το δημαρχείο έχει ολόκληρο υπόγειο με server και λοιπά(που δεν έχει, αλλά κουβέντα να γίνεται), το μέγιστο ποσό που μπορεί να φτάσει άντε να είναι τα μισά. Δεν έχετε καθόλου τσίπα να τρώτε τόσα λεφτά τόσο απροκάλυπτα; Δώστε τα σε 100 οικογένειες να περάσουν ένα εξάμηνο τσάμπα. Και μην κάνετε καθόλου "portal". Ή πείτε μου να το φτιάξω εγώ τσάμπα.

Φτου!

Forthnet 2play και διπλασιασμός upload speed

Κάποια στιγμή μέσα στο Σαββατοκύριακο η forthnet διπλασίασε την ταχύτητα του upload στα πακέτα forthnet 2play από 512kbps σε 1mbps.

Η πλάκα είναι ότι δεν είδα ούτε μια ανακοίνωση, ούτε μια διαφήμιση από πριν σε κάποιο μέσο. Αλλά και μετά που έψαξα δεν βρήκα και πολλές αναφορές στο θέμα, πλην φυσικά τις αναφορές των χρηστών στα μεγάλα ελληνικά fora, insomnia, adslgr, myphone κλπ.

Άντε να κάνει και τίποτα της προκοπής η εταιρία της ντροπής!

total XakeR 11

Κάνω πως αγνοώ την αλλαγή του έτους και περνάω άμεσα στο ψητό. Έχω βαρεθεί τις ευχές και φαντάζομαι το ίδιο και εσείς. Άλλωστε ως άνθρωπος ασχολούμενος με τις θετικές επιστήμες, θα μου επιτρέψετε να ακουστώ κομμάτι κυνικός(κλισέ) λέγοντας πως η αλλαγή του ημερολογιακού χρόνου δεν είναι τίποτα άλλο παρά μια -από καιρό- εδραιωμένη σύμβαση.

That said, περνάω στο θέμα της δημοσίευσης, που δεν είναι κανένα άλλο παρά να σας ενημερώσω οτι κυκλοφόρησε, πριν μερικές μέρες, το ενδέκατο τεύχος του tX.

Σαν πιο ενδιαφέρων θέμα ψηφίζω το άρθρο που είναι σχετικό με τις ενέσεις κώδικα (code injections) σε εκτελέσιμα αρχεία των Windows. Διαβάστε το για να μάθετε, ανάλογα με το υπάρχον επίπεδο γνώσεων που έχετε, από το πως να δημιουργήσετε το πρώτο σας malware ως τρόπους για να "σπάσετε" κλειδώματα προγραμμάτων και παιχνιδιών.

Η δική μου συμμετοχή σε αυτό το τεύχος είναι ένα άρθρο για την αξιοποίηση του παλιού σας PDA ως δεύτερη βοηθητική οθόνη στα Windows. Ελπίζω να σας φανεί χρήσιμο.