Cosa stanno facendo gli spambot con tentativi di accesso incomprensibili?

Questi accessi potrebbero essere il risultato di spambots che si sono sorpassati l'un l'altro. Questo scenario non mi sembra per nulla plausibile:

1. Webmaster crea un forum Web a scopo di test
2. Il webmaster dimentica di averlo persino fatto e di lasciarlo in esecuzione su qualche spazio web dimenticato
3. SpambotA trova il forum e decide di divertirsi un po 'con esso. Crea tonnellate di account con nomi casuali e password e post spam ottimizzazione dei motori di ricerca.
4. Viene rilevato un difetto di sicurezza critico nel software del forum che consente di leggere i nomi utente e le password dal database. I webmaster sono invitati a installare la patch APPENA POSSIBILE, ma al nostro webmaster non interessa.
5. SpambotB si avvicina, hacking il forum usando quella vulnerabilità e ottiene i dati di accesso
6. Non notando che non si tratta di accessi legittimi, SpambotB tenta le stesse combinazioni di nome utente e password su un altro forum, perché le persone tendono a utilizzare gli stessi nomi utente e password su siti Web diversi.

La semplice risposta è che queste sono probabilmente combinazioni di nome utente / password estratte dagli attacchi su altri siti. Gli elenchi di password contengono tutti i tipi di caratteri e parole strani e meravigliosi che potresti non aspettarti, ma il fatto stesso che siano lì di solito significa che sono in uso o che sono stati in uso.

Questi robot spam stanno semplicemente cercando di forzare l'utente / passare spazio sul tuo sito e su milioni di altri.

Ci sono così tante possibilità per le password dall'aspetto casuale, ogni singola spiegazione sarà pura speculazione. Tuttavia, è lecito ritenere che siano stati probabilmente prelevati da account su vari server compromessi.

In base alle password di esempio che hai elencato nella domanda originale, sono incline a pensare che siano o hash codificati in base64 o password generate da computer.

Analizziamo nuovamente queste password:

[password] => 2454HIYQYH
[password] => 4xi82JfkbS
[password] => CKNSC58E3U

Gli hash

Qualsiasi sistema di autenticazione rispettabile hash le sue password invece di memorizzarle in testo semplice. Se le "password" sopra sono hash, ovviamente non sono codificate in esadecimale, perché (1) contengono lettere diverse da a-f e (2) una di esse contiene anche maiuscole e minuscole. Potrebbero essere codificati in base64 e forse persino troncati a 10 caratteri. Troncarli aumenta la possibilità di una collisione, ma il progettista del sistema potrebbe aver pensato che l'hash troncato fosse ancora abbastanza sicuro.

Password generate dal computer

Ci sono diversi motivi per cui potrebbero essere password generate da macchine.

1. Alcune persone usano i generatori di password (software o generatore di password casuale "cancelletto") e caratteri alfanumerici a 10 caratteri mai visti per lungo tempo.
2. Alcune società assegnano password che non possono essere modificate dall'utente
3. Il forum spam-bot può aver generato gli account (come suggerito da Philipp)
4. Molti siti Web creeranno per te una password predefinita, che verrà ripristinata quando attivi il tuo account.

Al momento # 4 è la mia spiegazione preferita, solo perché personalmente mi sono registrato su dozzine o centinaia di siti che poi mi hanno inviato per e-mail e mi hanno richiesto di attivare il mio account facendo clic su un link e / o effettuando l'accesso con un password predefinita che è stata inviata nell'e-mail. È molto probabile che molti account con queste password predefinite siano stati creati da persone che non hanno attivato i loro account o creati da "bot che non hanno potuto attivare gli account perché non avevano accesso agli account di posta elettronica utilizzati per la registrazione.

Nomi utente dall'aspetto casuale

Se guardiamo di nuovo i nomi utente nelle combinazioni nome utente-password, anche questi sembrano generati:

[username] => BKujXjbL
[password] => 2454HIYQYH

[username] => Antiretewssar
[password] => 4xi82JfkbS

[username] => a
[password] => CKNSC58E3U

Ancora una volta, ci sono molte possibili spiegazioni per questo, ma eccone alcune:

1. Alcune società assegnano nomi utente
2. I nomi utente sono stati raccolti insieme alle password associate (probabilmente da un database del forum infestato da bot, come suggerito da Philipp)
3. I nomi utente sono stati raccolti, ma tutti i nomi utente sono stati testati con tutte le password raccolte e forse con altre password generate da dizionari o brute-force (anche se hai menzionato che non hai visto molte password basate su dizionario )

Non penso che sia semplice come i bot che tentano di accedere, ma i bot che tentano di sfruttare i moduli Web in generale per scopi SEO che cattureranno anche moduli di iscrizione / accesso.

Le stringhe possono fungere da identificatore univoco generato per identificare il sito / la pagina che il bot sta tentando di sfruttare.

Il motivo per cui i bot usano queste stringhe senza senso potrebbe essere quello di interrogare gli stessi valori nei motori di ricerca in un secondo momento per individuare quali siti funzioneranno per exploit SEO in seguito senza rivelare il loro "sito Web del cliente". Eseguendo query su google, bing, yahoo, ecc. Per "BKujXjbL" verrebbe visualizzato se quell'obiettivo specifico avesse successo o meno piuttosto che dire "viagraiscoolyadda.com" nei log degli obiettivi non lavorativi.

Alcuni possono usare metodi più intelligenti di compilazione di moduli incontrati, corrispondenti a tipi di dati come e-mail valide nei campi di posta elettronica, ecc. per mascherare la sua vera natura, come nomi reali, nomi utente, e-mail, ecc. bene provengono da database raccolti o compromessi.

Penso che il proprietario di questo bot avrà dei falsi positivi grazie a questo thread:)

link