web-dev-qa-db-fra.com

Quels sont les spambots avec des tentatives de connexion inintelligibles?

Après avoir constamment été attaqué à PHPBB, j'ai créé un nouveau forum à la main, qui empêche avec succès des bots spams de s'inscrire, et je reçois un rapport pour chaque tentative de connexion échouée, me disant les informations qu'ils ont essayées, leur adresse IP, qu'ils soient Liste noire, etc. de ceux qui proviennent des robots de spam, les informations de connexion que je vois à partir de ces spammeurs sont brouillés nom d'utilisateur et mot de passe, comme ceux-ci:

[username] => BKujXjbL
[password] => 2454HIYQYH

[username] => Antiretewssar
[password] => 4xi82JfkbS

[username] => a
[password] => CKNSC58E3U

Ma question est de savoir pourquoi les bots spams essaient que le nom d'utilisateur/mot de passe ne va pas de créer? J'essaie d'essayer quelque chose comme Smith/123456 a une bien meilleure chance d'une connexion réussie sur un site donné. Au début, je pensais que celles-ci sont un "code secret" qui peut contourner le script de connexion, mais j'ai rapidement compris qu'il n'y ait rien de tel qu'un code de contournement de connexion. Ou font-ils autre chose que le mot de passe de craquage?

* Mise à jour (2/10/2014) *

J'ai eu environ 15 tentatives de connexion ayant échoué tous les jours à partir de ces robots. Certains de ces noms d'utilisateur sont des noms d'utilisateur réels (par exemple, Danielbold), certains contiennent des noms de marque (par exemple, dans mon cas, pour une chaussure d'hiver à l'origine - Australie), et les autres sont probablement des noms d'utilisateur non humains (par exemple, BNCWVFMIWBWEQJR). Tous les mots de passe sont toujours inintelligibles, éventuellement des mots de passe hachés tronqués à 10 caractères. Il était intéressant de voir une tentative d'utilisation d'un nom d'utilisateur/mot de passe identique (astectton/kea85axe8w) sur 2 occasions distinctes, de sorte que ces combos doivent provenir d'une certaine base de données et non générées au hasard sur place. Il est intéressant de voir que ces tentatives similaires arrivent de différents endroits: nous, le Canada, les Pays-Bas, la Chine, etc., suggérant que c'est un code de bot très courant que de nombreux hackers (?) Utilisent.

Il est également vraiment intéressant que personne d'autre n'a rencontré le même problème.

passwordsspambotnet
21
Alex

Ces connexions peuvent être le résultat de spambots qui se déroulent. Ce scénario ne semble pas que cela me soit invraisemblable:

  1. Jeux Webmaster un forum de Web à des fins de test
  2. Webmaster oublie qu'il a même fait et le permet de continuer à courir sur un espace Web oublié
  3. Spmbota trouve le forum et décide de s'amuser avec elle. Il crée des tonnes de comptes avec des noms aléatoires et des mots de passe et des messages pourriel optimisation du moteur de recherche.
  4. Une faille de sécurité critique dans le logiciel de forum est découvert qui permet de lire les noms d'utilisateur et mots de passe de la base de données. Les webmasters sont invités à installer le patch dès que possible, mais notre webmaster s'en fiche.
  5. Spambotb vient autour, ticks le forum en utilisant cette vulnérabilité et obtient les données de connexion
  6. Je ne remarque pas que ces connexions ne sont pas légitimes, Spambotb essaie le même nom d'utilisateur et les mêmes combos de mot de passe sur un autre forum, car les gens ont tendance à utiliser les mêmes noms d'utilisateurs et mots de passe sur différents sites Web.
25
Philipp

La réponse simple est que celles-ci sont susceptibles d'être des combinaisons de nom d'utilisateur/mot de passe réelles extraites d'attaques sur d'autres sites. Les listes de mots de passe contiennent toutes sortes de caractères étranges et merveilleux et de mots que vous ne vous attendez pas à ne pas vous attendre, mais le fait même qu'ils sont là signifie généralement qu'ils sont utilisés, ou au moins sont utilisés.

Ces bots spams essaient simplement de brute la force de la force de l'utilisateur/de passer sur votre site et des millions d'autres.

15
Rory Alsop

Il existe tellement de possibilités pour les mots de passe à la recherche aléatoire, toute explication unique sera une spéculation pure. Cependant, il est prudent de supposer qu'ils ont été très probablement récoltés de comptes sur divers serveurs compromis.

Basé sur l'exemple de mots de passe que vous avez répertorié dans votre question d'origine, je suis enclin à penser qu'ils sont soit des mots de mot de passe codés de base64.

Regardons à nouveau ces mots de passe:

[password] => 2454HIYQYH
[password] => 4xi82JfkbS
[password] => CKNSC58E3U

Hashes

Tout système d'authentification respectable a atteint ses mots de passe au lieu de les stocker en clairexuel. Si les "mots de passe" ci-dessus sont des hachages, ils ne sont évidemment pas codés en hexadécimal, car (1) ils contiennent des lettres autres que A-F et (2) l'une d'elles contiennent même des cas mixtes. Ils pourraient être codés de base64 et sont peut-être même tronqués à 10 caractères. Les tronquages ​​augmentent les risques d'une collision, mais le concepteur du système peut avoir pensé que le hachage tronqué était toujours assez sécurisé.

Mots de passe générés par machine

Il y a plusieurs raisons pourraient être des mots de passe générés par la machine.

  1. Certaines personnes utilisent des générateurs de mot de passe (logiciels ou "livre sur le clavier" générateur de mots de passe aléatoire) et les caractères alphanumériques mixtes de 10 caractères ont été longs considérés comme sécurisés.
  2. Certaines entreprises attribuent des mots de passe qui ne peuvent pas être modifiés par l'utilisateur
  3. Le forum spam-bots a peut-être généré les comptes (comme suggéré par Philipp)
  4. De nombreux sites Web créeront un mot de passe par défaut pour vous, ce qui est réinitialisé lorsque vous activez votre compte.

Pour le moment n ° 4, est mon explication préférée, juste parce que je me suis personnellement inscrit sur des dizaines ou des centaines de sites qui m'avaient envoyé par courrier électronique et m'avésible d'activer mon compte en cliquant sur un lien et/ou en vous connectant avec un mot de passe par défaut qui a été envoyé dans l'e-mail. Il est fort probable que de nombreux comptes de ces mots de passe par défaut ont été créés par des personnes qui n'ont pas activé leurs comptes, soit ils ont été créés par des "bots qui n'ont pas pu activer les comptes car ils n'ont pas eu accès aux comptes de messagerie utilisés. pour l'enregistrement.

Noms d'utilisateur à la recherche aléatoire

Si nous regardons à nouveau les noms d'utilisateur dans les combinaisons de mot de passe d'utilisateur-nom, ceux-ci ont également l'air générés:

[username] => BKujXjbL
[password] => 2454HIYQYH

[username] => Antiretewssar
[password] => 4xi82JfkbS

[username] => a
[password] => CKNSC58E3U

Encore une fois, il y a beaucoup d'explications possibles pour cela, mais voici quelques-uns:

  1. Certaines entreprises attribuent des noms d'utilisateur
  2. Les noms d'utilisateur ont été récoltés avec les mots de passe associés (éventuellement d'une base de données sur le forum infesté de BOT, comme suggéré par Philipp)
  3. Les noms d'utilisateur ont été récoltés, mais tous les noms d'utilisateur sont testés avec tous les mots de passe récoltés et peut-être avec d'autres mots de passe générés par un dictionnaire ou de la force brute (bien que vous avez mentionné que vous n'avez pas vu de très nombreux mots de passe dictionnaires)
12
rob

Je ne pense pas que cela soit aussi simple que les bots tentatives de se connecter, mais des bots tentaient d'exploiter des formulaires Web en général à des fins de référencement, qui attraperont également des formulaires d'inscription/de connexion.

Les chaînes peuvent servir d'identifiant unique généré pour identifier le site/la page que le bot tente d'exploiter.

La raison des robots utilisant ces chaînes non sensibles peut être d'interroger les mêmes valeurs dans les moteurs de recherche plus tard pour cibler quels sites vont fonctionner pour des exploits de référencement plus tard sans révéler leur "site de client". En interrogeant Google, Bing, Yahoo, etc. pour "Bkujxjbl" se présenterait si cette cible spécifique a été réussie ou non plutôt que de dire "viagraiscoolyadda.com" dans les journaux d'objectifs non fonctionnels.

Certains peuvent utiliser des méthodes plus intelligentes de remplissage de formulaires qu'elle rencontre, correspondant à des types de données correspondant tels que des courriels valides dans des champs de messagerie, etc., pour masquer sa nature vraie, tels que des noms réels, des noms d'utilisateur, des courriels, etc., qui pourrait très bien venir de Bases de données récoltées ou piratées.

Je pense que ce propriétaire de ce bot aura des faux positifs grâce à ce fil :)

https://www.google.com/search?q=bkujxjbl

1
Raymond