Après avoir constamment été attaqué à PHPBB, j'ai créé un nouveau forum à la main, qui empêche avec succès des bots spams de s'inscrire, et je reçois un rapport pour chaque tentative de connexion échouée, me disant les informations qu'ils ont essayées, leur adresse IP, qu'ils soient Liste noire, etc. de ceux qui proviennent des robots de spam, les informations de connexion que je vois à partir de ces spammeurs sont brouillés nom d'utilisateur et mot de passe, comme ceux-ci:
[username] => BKujXjbL
[password] => 2454HIYQYH
[username] => Antiretewssar
[password] => 4xi82JfkbS
[username] => a
[password] => CKNSC58E3U
Ma question est de savoir pourquoi les bots spams essaient que le nom d'utilisateur/mot de passe ne va pas de créer? J'essaie d'essayer quelque chose comme Smith/123456 a une bien meilleure chance d'une connexion réussie sur un site donné. Au début, je pensais que celles-ci sont un "code secret" qui peut contourner le script de connexion, mais j'ai rapidement compris qu'il n'y ait rien de tel qu'un code de contournement de connexion. Ou font-ils autre chose que le mot de passe de craquage?
* Mise à jour (2/10/2014) *
J'ai eu environ 15 tentatives de connexion ayant échoué tous les jours à partir de ces robots. Certains de ces noms d'utilisateur sont des noms d'utilisateur réels (par exemple, Danielbold), certains contiennent des noms de marque (par exemple, dans mon cas, pour une chaussure d'hiver à l'origine - Australie), et les autres sont probablement des noms d'utilisateur non humains (par exemple, BNCWVFMIWBWEQJR). Tous les mots de passe sont toujours inintelligibles, éventuellement des mots de passe hachés tronqués à 10 caractères. Il était intéressant de voir une tentative d'utilisation d'un nom d'utilisateur/mot de passe identique (astectton/kea85axe8w) sur 2 occasions distinctes, de sorte que ces combos doivent provenir d'une certaine base de données et non générées au hasard sur place. Il est intéressant de voir que ces tentatives similaires arrivent de différents endroits: nous, le Canada, les Pays-Bas, la Chine, etc., suggérant que c'est un code de bot très courant que de nombreux hackers (?) Utilisent.
Il est également vraiment intéressant que personne d'autre n'a rencontré le même problème.
Ces connexions peuvent être le résultat de spambots qui se déroulent. Ce scénario ne semble pas que cela me soit invraisemblable:
La réponse simple est que celles-ci sont susceptibles d'être des combinaisons de nom d'utilisateur/mot de passe réelles extraites d'attaques sur d'autres sites. Les listes de mots de passe contiennent toutes sortes de caractères étranges et merveilleux et de mots que vous ne vous attendez pas à ne pas vous attendre, mais le fait même qu'ils sont là signifie généralement qu'ils sont utilisés, ou au moins sont utilisés.
Ces bots spams essaient simplement de brute la force de la force de l'utilisateur/de passer sur votre site et des millions d'autres.
Il existe tellement de possibilités pour les mots de passe à la recherche aléatoire, toute explication unique sera une spéculation pure. Cependant, il est prudent de supposer qu'ils ont été très probablement récoltés de comptes sur divers serveurs compromis.
Basé sur l'exemple de mots de passe que vous avez répertorié dans votre question d'origine, je suis enclin à penser qu'ils sont soit des mots de mot de passe codés de base64.
Regardons à nouveau ces mots de passe:
[password] => 2454HIYQYH
[password] => 4xi82JfkbS
[password] => CKNSC58E3U
Tout système d'authentification respectable a atteint ses mots de passe au lieu de les stocker en clairexuel. Si les "mots de passe" ci-dessus sont des hachages, ils ne sont évidemment pas codés en hexadécimal, car (1) ils contiennent des lettres autres que A-F et (2) l'une d'elles contiennent même des cas mixtes. Ils pourraient être codés de base64 et sont peut-être même tronqués à 10 caractères. Les tronquages augmentent les risques d'une collision, mais le concepteur du système peut avoir pensé que le hachage tronqué était toujours assez sécurisé.
Il y a plusieurs raisons pourraient être des mots de passe générés par la machine.
Pour le moment n ° 4, est mon explication préférée, juste parce que je me suis personnellement inscrit sur des dizaines ou des centaines de sites qui m'avaient envoyé par courrier électronique et m'avésible d'activer mon compte en cliquant sur un lien et/ou en vous connectant avec un mot de passe par défaut qui a été envoyé dans l'e-mail. Il est fort probable que de nombreux comptes de ces mots de passe par défaut ont été créés par des personnes qui n'ont pas activé leurs comptes, soit ils ont été créés par des "bots qui n'ont pas pu activer les comptes car ils n'ont pas eu accès aux comptes de messagerie utilisés. pour l'enregistrement.
Si nous regardons à nouveau les noms d'utilisateur dans les combinaisons de mot de passe d'utilisateur-nom, ceux-ci ont également l'air générés:
[username] => BKujXjbL
[password] => 2454HIYQYH
[username] => Antiretewssar
[password] => 4xi82JfkbS
[username] => a
[password] => CKNSC58E3U
Encore une fois, il y a beaucoup d'explications possibles pour cela, mais voici quelques-uns:
Je ne pense pas que cela soit aussi simple que les bots tentatives de se connecter, mais des bots tentaient d'exploiter des formulaires Web en général à des fins de référencement, qui attraperont également des formulaires d'inscription/de connexion.
Les chaînes peuvent servir d'identifiant unique généré pour identifier le site/la page que le bot tente d'exploiter.
La raison des robots utilisant ces chaînes non sensibles peut être d'interroger les mêmes valeurs dans les moteurs de recherche plus tard pour cibler quels sites vont fonctionner pour des exploits de référencement plus tard sans révéler leur "site de client". En interrogeant Google, Bing, Yahoo, etc. pour "Bkujxjbl" se présenterait si cette cible spécifique a été réussie ou non plutôt que de dire "viagraiscoolyadda.com" dans les journaux d'objectifs non fonctionnels.
Certains peuvent utiliser des méthodes plus intelligentes de remplissage de formulaires qu'elle rencontre, correspondant à des types de données correspondant tels que des courriels valides dans des champs de messagerie, etc., pour masquer sa nature vraie, tels que des noms réels, des noms d'utilisateur, des courriels, etc., qui pourrait très bien venir de Bases de données récoltées ou piratées.
Je pense que ce propriétaire de ce bot aura des faux positifs grâce à ce fil :)