¿Por qué un atacante intentaría adivinar los nombres de usuario de correos electrónicos aleatorios en un dominio pequeño?

5

Mi servidor de correo ha estado recientemente bajo un ataque muy extraño. Cada cinco o diez minutos, una nueva IP se conecta a SMTP, intenta probar nombres de usuario extraños (como pil, bennett, netscape, msfuser, desktop, fenix, clamav, emily, wwwrun, etc.). Cada intento sigue el mismo patrón exacto, probando el nombre de usuario como la contraseña, luego username1, luego username123, luego 123456. Después de eso, mi servidor pone la IP en una lista negra y rechaza todas las solicitudes posteriores de esa IP.

Este parece ser el ataque más inútil de todos. ¿Qué podrían estar esperando lograr? Originalmente, hubo un error de configuración que hizo que mi servidor de correo rechazara el correo de mi proxy de correo no deseado debido al ataque, pero lo solucioné hace un tiempo y aún continúan los intentos.

No está molestando a mi servidor ya que las solicitudes son bastante lentas y no son un volumen en particular. No tiene ninguna posibilidad de encontrar un nombre de usuario que funcione de esa manera, especialmente porque todos los dominios que maneja este servidor de correo son muy pequeños (como 5 o 10 usuarios en total). Se está quemando a través de un montón de nodos de botnet que pueden ser reportados. Parece una cantidad excesiva de costo (revelando IPs que contienen bots) en relación con las posibilidades muy limitadas de obtener un beneficio (basado en cuán limitado es el escaneo). ¿Es este tipo de cosas simplemente comunes en Internet y de alguna manera mi servidor se ha mantenido bajo el radar hasta ahora (a pesar de que lleva más de 10 años y anteriormente tenía un sitio de popularidad relativamente alta)?

    
pregunta AJ Henderson 14.02.2014 - 19:45
fuente

2 respuestas

3

Estos ataques tienen poco o ningún costo y riesgo para el atacante. Imagínese si el atacante tiene control sobre una botnet de unos pocos miles de computadoras. Eso es al menos un par de miles de intentos por nombre de usuario + pase. Si elige los nombres de usuario y las contraseñas más comunes, tiene una posibilidad (pequeña, pero no nula) de obtener acceso a su sistema.

Si bien es posible que no tenga nada particularmente valioso para que roben, ahora tienen 1 computadora más, que pueden usar para comprometer a otros, a quienes en realidad podrían tener datos valiosos.

Si esto se realiza en cientos de miles de dominios, las posibilidades de obtener acceso a al menos unos pocos son bastante buenas.

Sin costo + Sin riesgo = Muchos intentos.

Probablemente estén revisando su servidor de correo porque podrían tener tiempos de espera de contraseña más laxos. Hay muchas personas que también reutilizan las contraseñas, por lo que pueden tener suerte.

    
respondido por el Daisetsu 14.02.2014 - 20:23
fuente
1

Esta es probablemente una instancia de un ataque de fuerza bruta distribuida "baja y lenta", que es la última evolución de los ataques de adivinación de contraseñas que intentan iniciar sesión y comprometer las computadoras conectadas a Internet. La instancia más publicitada y estudiada de esto que conozco es la Hail Mary Cloud botnet . Parece un ataque especialmente mal hecho de este tipo, pero no hay nada que diga que un atacante deba ser competente ... y es poco probable que su pequeño dominio sea el único objetivo.

Explicación más larga, abajo:

Como todos sabemos, las computadoras conectadas a Internet están sujetas a una gran cantidad de atacantes que realizan intentos de inicio de sesión no autorizados en puertos conocidos, conocidos como "ataques de fuerza bruta de fuego rápido", donde un atacante lance tantos intentos de inicio de sesión, tan rápido como pueda sobre SSH, RDP y VNC (etc.) en prácticamente todos y todo lo que puedan encontrar.

Como esto ha estado ocurriendo durante muchos años, estos ataques son bien conocidos, fáciles de mitigar y cada vez más ineficaces. Recuerdo haber leído en algún lugar acerca de un estudio de seguridad que fijó el tiempo promedio entre una nueva computadora en línea y su primer intento de inicio de sesión no autorizado en menos de 15 minutos. Como resultado, en estos días, es prácticamente una configuración predeterminada (o, en realidad, es una configuración predeterminada con muchos proveedores) para que una nueva máquina con conexión a Internet tenga algún mecanismo para eliminar el tráfico de una IP que también tiene muchos inicios de sesión fallidos en un período de tiempo.

Por lo tanto, los atacantes han evolucionado.

En lugar de usar el ataque de fuerza bruta de "fuego rápido" que básicamente ya no tiene ninguna esperanza de funcionar, los atacantes obtendrán una gran cantidad de máquinas bajo su control (generalmente al alquilar una red de bots), distribuyen sus listas de usuarios / contraseñas, y las máquinas comenzarán a intentar conectarse a computadoras remotas e iniciar sesión. Para un único host atacado, los ataques son de una intensidad tan baja que generalmente pasan desapercibidos. Incluso cuando se notan, generalmente el único resultado es que un administrador se rasque la cabeza, preguntándose qué sucedió o cuál fue el punto. En conjunto, sin embargo, el uso de combinaciones de usuario / paso relativamente comunes, provenientes de un gran número de máquinas zombie, contra un gran número de objetivos, es lo suficientemente exitoso como para justificar el costo del ataque, que en realidad no es tan alto, considerando lo que es un Se puede alquilar una botnet de PC domésticas comprometidas para.

En cuanto a por qué SMTP en lugar de SSH, también una evolución, y por las mismas razones. Las personas se han dado cuenta del hecho de que las personas intentarán entrar por SSH. Entonces, ahora estos ataques vienen dirigidos contra casi cualquier cosa que puedas imaginar. Hay más de una forma de comprometer una máquina, y todos prestan atención a los intentos de inicio de sesión en SSH, pero el monitoreo de Joomla para inicios de sesión fallidos no está tan extendido .

    
respondido por el HopelessN00b 14.02.2015 - 09:28
fuente

Lea otras preguntas en las etiquetas