Estoy ejecutando una serie de sitios web. Todos ellos están basados en Drupal, si eso es relevante. Recientemente he notado algo extraño. Todos mis sitios tienen un usuario registrado con el nombre "zctonglin". Supongo que el usuario es un spammer debido a algún comportamiento inicial típico de un spammer. En base a eso, este usuario ha estado bloqueado en todos mis sitios durante algunas semanas. Lo extraño es que varias veces todos los días todavía obtengo algunos intentos de iniciar sesión como "zctonglin". Estos intentos se originan en una variedad de direcciones IP diferentes, lo que hace que sea poco probable que se originen en una sola computadora o red. Podrían originarse en máquinas controladas, por supuesto.
Las direcciones de correo electrónico (requeridas para un registro de dos pasos en mis sitios) utilizadas para el registro son obviamente desechables.
Haciendo un poco de investigación en la red. Noté mucho spam por zctonglin en muchos, muchos sitios. Google devuelve más de 300,000 resultados para zctonglin, pero como la mayoría de ellos son usuarios en una variedad de sitios web, no es una búsqueda muy útil, aunque dentro de esos resultados puede haber algo más relevante para mi investigación. No lo he encontrado todavía. "zctonglin" es un nombre inusual, creo que es más que una mera coincidencia. Me pregunto si hay un software de explotación automatizado que tenga zctonglin configurado como usuario predeterminado. Eso explicaría las cosas a mi satisfacción. Si no, entonces la gran cantidad de rastros de zctonglin en internet me hace preguntarme si hay algo más siniestro en juego aquí.
Podría configurar un sitio ficticio, esperar a que se registre zctonglin (lo cual supongo que él / él lo hará, especialmente si me vinculo desde un sitio existente), o permitirle que se registre en un sitio objetivo actual (estoy muy reacio a hacer esto por las obvias implicaciones de seguridad) y ver qué es exactamente lo que está haciendo, pero dudo que supiera más que la búsqueda de Google en zctonglin. Así que, ¡preferiría obtener una explicación de un as de seguridad! :)
¿Alguien tiene alguna pista sobre este fenómeno, algo que agregar o una sugerencia sobre qué hacer a continuación? Ninguno de los sitios que gestiono ha sido comprometido de ninguna manera todavía, afaik. Al menos no puedo encontrar evidencia de ello, pero no estoy feliz de dejar que las cosas descansen cuando no las entiendo.
Gracias por cualquier ayuda
Editar para obtener información adicional:
Uno de los sitios es que el sitio tiene muy poco tráfico, excepto los spammers (que se moderan y no son un problema, excepto el ancho de banda y la CPU). Es muy nuevo (10 semanas en vivo) y tiene muy poco contenido sustancial. Literalmente, solo recibe ninguna, una o dos visitas legítimas al día, sin embargo, zctonglin intenta su inicio de sesión aproximadamente 10 veces al día en ese sitio y lo ha hecho durante aproximadamente 6 semanas (de ip muy diferentes cada vez).
Por lo tanto, si se trata de una sola persona, probablemente use máquinas comprometidas en todo el lugar.
Mi preocupación sería más un escenario donde el usuario zctonglin actúa como una puerta trasera para muchos hackers.
Supongo que, si realmente quiero llegar al fondo de esto, tendré que configurar un honeypot que es algo que quería evitar debido al trabajo involucrado.