¿Qué hacen los robots de spam con intentos de inicio de sesión ininteligibles?

Navega tus respuestas
21

Después de estar constantemente bajo ataque en phpBB, creé un nuevo foro a mano, que evita que los bots de spam se registren, y recibo un informe por cada intento fallido de inicio de sesión, informándome la información que probaron, su dirección IP, si están en la lista negra, etc. De los que provienen de robots de spam, la información de inicio de sesión que veo de estos spammers es un nombre de usuario y una contraseña confusos, como estos: 

[username] => BKujXjbL
[password] => 2454HIYQYH

[username] => Antiretewssar
[password] => 4xi82JfkbS

[username] => a
[password] => CKNSC58E3U

Mi pregunta es, ¿por qué los bots de spam intentan un combo de nombre de usuario / contraseña que ningún ser humano crearía? Siento que intentar algo como smith / 123456 tiene muchas más posibilidades de iniciar sesión correctamente en un sitio determinado. Al principio pensé que estos son algunos "códigos secretos" que pueden omitir la secuencia de comandos de inicio de sesión, pero rápidamente me di cuenta de que no existe tal cosa como un código de omisión de inicio de sesión. ¿O están haciendo otra cosa que no sea descifrar la contraseña?

* Actualización (2/10/2014) *

He estado obteniendo alrededor de 15 intentos de inicio de sesión fallidos todos los días de estos bots. Algunos de estos nombres de usuario son nombres de usuario reales (por ejemplo, Danielbold), algunos contienen nombres de marca (por ejemplo, en mi caso, para un calzado de invierno originario de Australia), y el resto son nombres de usuario no humanos (por ejemplo, bnCwVFmIWbweQJr). Todas las contraseñas siguen siendo ininteligibles, posiblemente las contraseñas con hash truncadas en 10 caracteres. Fue interesante ver un intento de usar un combo idéntico de nombre de usuario / contraseña (Astectton / kea85aXe8W) en 2 ocasiones diferentes, por lo que estos combos deben ser de una base de datos determinada y no generarse al azar en el lugar. Es interesante ver que estos intentos similares vienen de diferentes lugares: EE. UU., Canadá, Países Bajos, China, etc., lo que sugiere que es un código de bot muy común que usan muchos piratas informáticos (?).

También es muy interesante que nadie más haya encontrado el mismo problema.

    
pregunta Alex 04.02.2014 - 17:06
fuente

4 respuestas

25

Estos inicios de sesión pueden ser el resultado de spambots que se burlan unos de otros. Este escenario no me parece tan inverosímil:

  1. El webmaster configura un foro web para realizar pruebas
  2. El webmaster se olvida de que él incluso lo hizo y lo deja seguir corriendo en algún espacio web olvidado
  3. SpambotA encuentra el foro y decide divertirse con él. Crea toneladas de cuentas con nombres y contraseñas aleatorias y publica spam optimización de motores de búsqueda.
  4. Se descubrió una falla de seguridad crítica en el software del foro que permite leer los nombres de usuario y las contraseñas de la base de datos. Se insta a los webmasters a que instalen el parche lo antes posible, pero a nuestro webmaster no le importa.
  5. SpambotB aparece, corta el foro usando esa vulnerabilidad y obtiene los datos de inicio de sesión
  6. Al no darse cuenta de que estos no son inicios de sesión legítimos, SpambotB intenta las mismas combinaciones de nombre de usuario y contraseña en otro foro, porque las personas tienden a usar los mismos nombres de usuario y contraseñas en diferentes sitios web.
respondido por el Philipp 04.02.2014 - 17:57
fuente
15

La respuesta simple es que es probable que sean combinaciones reales de nombre de usuario / contraseña extraídas de ataques en otros sitios. Las listas de contraseñas contienen todo tipo de caracteres y palabras extrañas y maravillosas que puede que no esperes, pero el hecho de que estén allí significa que están en uso, o al menos han estado en uso.

Estos robots de spam simplemente están tratando de forzar al usuario a pasar / pasar espacio en su sitio y en millones de otros.

    
respondido por el Rory Alsop 04.02.2014 - 17:22
fuente
12

Hay tantas posibilidades para las contraseñas de apariencia aleatoria, cualquier explicación única será pura especulación. Sin embargo, es seguro asumir que lo más probable es que se hayan obtenido de cuentas en varios servidores comprometidos.

Basándome en las contraseñas de ejemplo que enumeró en su pregunta original, me inclino a pensar que son hashes codificados en base64 o contraseñas generadas por máquina.

Veamos esas contraseñas de nuevo: 

[password] => 2454HIYQYH
[password] => 4xi82JfkbS
[password] => CKNSC58E3U

Hashes

Cualquier sistema de autenticación respetable hace hash de sus contraseñas en lugar de almacenarlas en texto plano. Si las "contraseñas" anteriores son hashes, obviamente no están codificadas en hexadecimal, porque (1) contienen letras distintas de a-f y (2) una de ellas incluso contiene mayúsculas y minúsculas. Pueden estar codificados en base64, y tal vez incluso estén truncados a 10 caracteres. Truncarlos aumenta la posibilidad de una colisión, pero el diseñador del sistema puede haber pensado que el hash truncado todavía era lo suficientemente seguro.

Contraseñas generadas por máquina

Hay varias razones por las que pueden ser contraseñas generadas por una máquina.

  1. Algunas personas usan generadores de contraseñas (ya sea el software o el generador de contraseñas aleatorias de "carga en el teclado"), y los caracteres alfanuméricos de mayúsculas y minúsculas de 10 caracteres se consideraron seguros durante mucho tiempo.
  2. Algunas empresas asignan contraseñas que el usuario no puede cambiar
  3. Los robots de spam del foro pueden haber generado las cuentas (como sugiere Philipp)
  4. Muchos sitios web crearán una contraseña predeterminada para usted, que se restablecerá cuando active su cuenta.

En este momento, el # 4 es mi explicación favorita, solo porque personalmente me he registrado en docenas o cientos de sitios que luego me enviaron por correo electrónico y me pidieron que activara mi cuenta haciendo clic en un enlace y / o iniciando sesión con un Contraseña predeterminada que se envió en el correo electrónico. Es muy probable que muchas cuentas con estas contraseñas predeterminadas hayan sido creadas por personas que no activaron sus cuentas o que fueron creadas por 'bots' que no pudieron activar las cuentas porque no tenían acceso a las cuentas de correo electrónico que usaban. para el registro.

Nombres de usuario de apariencia aleatoria

Si volvemos a ver los nombres de usuario en las combinaciones de nombre de usuario y contraseña, también parecen generados: 

[username] => BKujXjbL
[password] => 2454HIYQYH

[username] => Antiretewssar
[password] => 4xi82JfkbS

[username] => a
[password] => CKNSC58E3U

Nuevamente, hay muchas explicaciones posibles para esto, pero aquí hay algunas:

  1. Algunas empresas asignan nombres de usuario
  2. Los nombres de usuario se recopilaron junto con las contraseñas asociadas (posiblemente de una base de datos del foro 'infestada por bots, como sugiere Philipp]
  3. Se recolectaron los nombres de usuario, pero se están probando todos los nombres de usuario con todas las contraseñas recolectadas y quizás con otras contraseñas basadas en diccionario o fuerza bruta (aunque mencionó que no ha visto muchas contraseñas basadas en diccionario) )
respondido por el rob 05.02.2014 - 00:10
fuente
1

No creo que sea tan simple como los bots que intentan iniciar sesión, pero los bots que intentan explotar los formularios web en general con fines de SEO, que también detectarán los formularios de registro / inicio de sesión.

Las cadenas pueden servir como un identificador único generado para identificar el sitio / página que el bot intenta explotar.

El motivo de que los bots utilicen estas cadenas sin sentido puede ser consultar los mismos valores en los motores de búsqueda más adelante para determinar qué sitios van a funcionar para las explotaciones de SEO más adelante sin revelar su "sitio web del cliente". Al consultar en google, bing, yahoo, etc., "BKujXjbL" aparecería si ese objetivo específico fue exitoso o no, en lugar de decir "viagraiscoolyadda.com" en los registros de los objetivos que no funcionan.

Algunos pueden usar métodos más inteligentes para rellenar los formularios que encuentra, hacer coincidir los tipos de datos, como correos electrónicos válidos en los campos de correo electrónico, etc., para enmascarar su verdadera naturaleza, como nombres reales, nombres de usuarios, correos electrónicos, etc. Bien provienen de bases de datos cosechadas o hackeadas.

Creo que el propietario de este bot tendrá algunos falsos positivos gracias a este hilo :)

enlace

    
respondido por el Raymond 05.02.2014 - 23:19
fuente

Lea otras preguntas en las etiquetas

¿Cómo una empresa como CloudFlare bloquea el rastreo de robots y los recolectores de correo electrónico? ¿Es posible escribir shellcode en C ++?