Domanda:
Cosa fanno gli spambot con tentativi di accesso incomprensibili?
Alex
2014-02-04 22:06:18 UTC
view on stackexchange narkive permalink

Dopo essere stato costantemente sotto attacco in phpBB, ho creato manualmente un nuovo forum, che impedisce con successo ai bot spam di registrarsi, e ottengo un rapporto per ogni tentativo di accesso fallito, indicandomi le informazioni che hanno provato, il loro indirizzo IP, se sono nella lista nera, ecc. Di quelli che provengono da bot spam, le informazioni di accesso che vedo da questi spammer sono nome utente e password confusi, come questi:

  [nomeutente] = > BKujXjbL [password ] = > 2454HIYQYH [nomeutente] = > Antiretewssar [password] = > 4xi82JfkbS [nome utente] = > a [password] = > CKNSC58E3U  La mia domanda / codice utente dovrebbe essere spam 

combinazione di password che nessun essere umano creerebbe? Sento che provare qualcosa come smith / 123456 ha molte più possibilità di un accesso riuscito su un determinato sito. All'inizio pensavo che si trattasse di un "codice segreto" in grado di aggirare lo script di accesso, ma mi sono subito reso conto che non esiste nulla come un codice di esclusione dell'accesso. O stanno facendo qualcosa di diverso dal crackare la password?

* Aggiornamento (2/10/2014) *

Ho ricevuto circa 15 accessi non riusciti tentativi tutti i giorni da questi bot. Alcuni di questi nomi utente sono nomi utente reali (ad es. Danielbold), alcuni contengono nomi di marchi (ad es. Nel mio caso, per scarpe invernali originarie dell'Australia) e il resto sono probabilmente nomi utente non umani (ad es. BnCwVFmIWbweQJr). Tutte le password sono ancora incomprensibili, probabilmente le password con hash troncate a 10 caratteri. È stato interessante vedere un tentativo di utilizzare una combinazione nome utente / password identica (Astectton / kea85aXe8W) in 2 occasioni separate, quindi queste combinazioni dovrebbero provenire da un determinato database e non generate casualmente sul posto. È interessante vedere che questi tentativi simili provengono da luoghi diversi: Stati Uniti, Canada, Paesi Bassi, Cina e così via, suggerendo che si tratta di un codice bot molto comune utilizzato da molti hacker (?).

È anche davvero interessante che nessun altro abbia riscontrato lo stesso problema.

Mio Dio! Guarda queste password. Nessun ** umano ** potrebbe creare una cosa del genere!
Tutti gli esempi che hai fornito hanno password di 10 caratteri. È solo una coincidenza o tutte le password raccolte hanno la stessa lunghezza?
Sono questi gli account che hanno tentato di registrare? Forse semplicemente non hanno una corretta gestione degli errori e tentano di accedere al proprio account che non sono effettivamente riusciti a creare.
Perché quelle password non sono sottoposte ad hashing?
Per rubare: sì, sembrano essere lunghi tutti e 10 i caratteri. Per CodesInChaos, QuestionOverflow: provengono da spambots, con IP nella lista nera o provenienti da paesi in cui i visitatori del sito sicuramente non vivono. I tentativi di accesso sospetti vengono registrati ed è facile da fare invertire md5 ().
Che cosa? Non puoi invertire MD5.
http://tools.benramsey.com/md5/?
@Alex, non puoi * invertire * md5, è una funzione unidirezionale. Puoi attaccarlo con il dizionario, cosa molto diversa.
Quattro risposte:
#1
+25
Philipp
2014-02-04 22:57:09 UTC
view on stackexchange narkive permalink

Questi accessi potrebbero essere il risultato di spambot che si ingannano a vicenda. Questo scenario non mi sembra così poco plausibile:

  1. Webmaster imposta un forum web a scopo di test
  2. Il webmaster dimentica di averlo fatto e lo lascia continuare a funzionare su alcuni spazio web dimenticato
  3. SpambotA trova il forum e decide di divertirsi con esso. Crea tonnellate di account con nomi e password casuali e messaggi di spam ottimizzazione del motore di ricerca.
  4. Viene scoperto un difetto di sicurezza critico nel software del forum che consente di leggere nomi utente e password dal Banca dati. I webmaster sono invitati a installare la patch il prima possibile, ma al nostro webmaster non interessa.
  5. SpambotB viene in giro, hackera il forum utilizzando quella vulnerabilità e ottiene i dati di accesso
  6. Non notando che questi non sono accessi legittimi, SpambotB prova le stesse combinazioni di nome utente e password su un altro forum, perché le persone tendono a utilizzare gli stessi nomi utente e password su diversi siti web.
Spero davvero che sia vero. Questo ciclo di feedback porterà alla sensibilità di Spambot? ;-)
@NeilSlater Entro il 2047, gli unici utenti di Internet rimasti saranno gli spambot che cercheranno di vendersi a vicenda orologi e pillole.
Per inciso, alcuni anni fa ho lasciato un forum SMF (niente su di esso, puramente test e completamente dimenticato) in esecuzione su un webhost gratuito. Ho controllato circa un anno dopo per motivi non correlati ed è stato completamente * riempito * con account utente casuali e messaggi di spam. Account e post eliminati, aggiunto un captcha di base, whoops, niente più spam ...
@Philipp: Scopri il segreto per vendere merda. Altri spambots lo odiano ...
#2
+15
Rory Alsop
2014-02-04 22:22:05 UTC
view on stackexchange narkive permalink

La semplice risposta è che probabilmente si tratta di combinazioni di nome utente / password effettive estratte da attacchi ad altri siti. Gli elenchi di password contengono tutti i tipi di caratteri e parole strani e meravigliosi che potresti non aspettarti, ma il fatto stesso che siano lì di solito significa che sono in uso, o almeno sono stati in uso.

Questi bot spam stanno semplicemente cercando di forzare brute lo spazio utente / passaggio sul tuo sito e milioni di altri.

Sono d'accordo con questo. Le combinazioni nome utente / password che "nessun essere umano creerebbe" sono combinazioni nome utente / password che _you_ non creerebbe; ma i tuoi simili possono essere molto creativi e faranno cose che considereresti del tutto prive di senso. O forse la maggior parte degli utenti di Internet sono segretamente criceti, non umani, il che in realtà spiegherebbe molte cose.
Questa risposta ha senso e sono d'accordo sul fatto che possano essere creati da altri umani, ma immagino di vedere almeno 1 tentativo con una stringa che ha parole offuscate o un'entropia inferiore ('a' era un'eccezione, quindi l'ho inclusa in il mio esempio). Inoltre ciò non spiega perché i bot non proveranno stringhe che hanno una maggiore probabilità di ottenere un "colpo".
@Alex stai dicendo che _non_ vedi mai alcun tipo di password basate su dizionario?
@rob sì. di tutti i 19 tentativi nell'ultimo giorno, "ugg bailey button metallic womens gold boots" è l'unico testo basato sul dizionario per un tentativo di nome utente, ma è un nome utente molto lungo contenente spazi. Un nuovo pensiero: potrebbero essere combinazioni nome utente / password _hashed_ memorizzate in un database utente sfruttato?
@Alex è quello che stavo per suggerire. 10 caratteri sembrano una lunghezza strana per un hash, ma le password non elaborate o gli hash potrebbero essere codificati in base64. È anche possibile che siano password generate dalla macchina.
#3
+12
rob
2014-02-05 05:10:23 UTC
view on stackexchange narkive permalink

Ci sono così tante possibilità per le password dall'aspetto casuale, ogni singola spiegazione sarà pura speculazione. Tuttavia, è lecito ritenere che molto probabilmente siano state raccolte da account su vari server compromessi.

Sulla base delle password di esempio che hai elencato nella tua domanda originale, sono propenso a pensare che siano o hash con codifica base64 o password generate dalla macchina.

Diamo un'occhiata di nuovo a quelle password:

  [password] = > 2454HIYQYH [password] = > 4xi82JfkbS [password] = > CKNSC58E3U  

Hash

Qualsiasi sistema di autenticazione rispettabile esegue l'hashing delle proprie password invece di memorizzarle in chiaro. Se le "password" di cui sopra sono hash, ovviamente non sono codificate in esadecimale, perché (1) contengono lettere diverse da a-f e (2) una di esse contiene anche lettere maiuscole e minuscole. Potrebbero essere codificati in base64 e forse anche troncati a 10 caratteri. Troncarli aumenta la possibilità di una collisione, ma il progettista del sistema potrebbe aver pensato che l'hash troncato fosse ancora abbastanza sicuro.

Password generate dalla macchina

Ci sono diversi motivi per cui potrebbero essere password generate dalla macchina.

  1. Alcune persone usano generatori di password (software o il generatore di password casuali "cancelletto sulla tastiera") e i caratteri alfanumerici a 10 caratteri misti sono stati a lungo considerati per essere sicuri.
  2. Alcune aziende assegnano password che non possono essere modificate dall'utente
  3. I bot spam del forum potrebbero aver generato gli account (come suggerito da Philipp)
  4. Molti siti web creeranno una password predefinita per te, che viene reimpostata quando attivi il tuo account.

Al momento # 4 è la mia spiegazione preferita, solo perché personalmente mi sono registrato su dozzine o centinaia di siti che poi mi hanno inviato un'e-mail chiedendomi di attivare il mio account cliccando su un link e / o effettuando password predefinita inviata nell'e-mail. È molto probabile che molti account con queste password predefinite siano stati creati da persone che non hanno attivato i propri account o da "bot che non potevano attivare gli account perché non avevano accesso agli account di posta elettronica utilizzati per la registrazione.

Nomi utente dall'aspetto casuale

Se guardiamo di nuovo i nomi utente nelle combinazioni nome utente-password, anche quelli sembrano generati:

  [nomeutente] = > BKujXjbL [password] = > 2454HIYQYH [nomeutente] = > Antiretewssar [password] = > 4xi82JfkbS [nome utente] = > a [password] = > CKN5 di nuovo  ci sono molte possibili spiegazioni per questo, ma eccone alcune:  
  1. Alcune aziende assegnano nomi utente
  2. I nomi utente sono stati raccolti insieme alle password associate (possibilmente da un 'bot- database del forum infestato, come suggerito da Philipp)
  3. I nomi utente sono stati raccolti, ma tutti i nomi utente vengono testati con tutte le password raccolte e forse con altre password basate su dizionario o generate a forza bruta (anche se hai detto che non hai visto molte password basate su dizionario)
#4
+1
Raymond
2014-02-06 04:19:50 UTC
view on stackexchange narkive permalink

Non penso sia semplice come i bot che tentano di accedere, ma i bot che tentano di sfruttare i moduli web in generale per scopi SEO che catturano anche i moduli di registrazione / login.

Le stringhe possono servire come identificatore univoco generato per identificare il sito / la pagina che il bot sta tentando di sfruttare.

Il motivo per cui i bot utilizzano queste stringhe senza senso potrebbe essere quello di cercare gli stessi valori nei motori di ricerca in un secondo momento per scegliere quali siti lavoreranno per gli exploit SEO in seguito senza rivelare il "sito web del cliente". Interrogando google, bing, yahoo, ecc per "BKujXjbL" verrebbe visualizzato se quel target specifico ha avuto successo o meno invece di dire "viagraiscoolyadda.com" nei log dei target non funzionanti.

Alcuni può utilizzare metodi più intelligenti per compilare i moduli che incontra, abbinando tipi di dati come e-mail valide nei campi e-mail, ecc., Per mascherare la sua vera natura, come nomi dall'aspetto reale, nomi utente, e-mail, ecc - che potrebbero benissimo derivare da raccolte o database compromessi.

Penso che il proprietario di questo bot avrà dei falsi positivi grazie a questo thread :)

https://www.google.com/search?q = BKujXjbL



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...