Perché un utente malintenzionato tenta di indovinare nomi utente e-mail casuali su un dominio di piccole dimensioni?

5

Il mio server di posta ha subito di recente un attacco molto bizzarro. Ogni cinque o dieci minuti, un nuovo IP si collega a SMTP, tenta di provare strani nomi utente (come pil, bennett, netscape, msfuser, desktop, fenix, clamav, emily, wwwrun, ecc.). Ogni tentativo segue lo stesso schema esatto, provando il nome utente come password, quindi username1, quindi username123, quindi 123456. Dopodiché il mio server oscura l'IP e rifiuta tutte le ulteriori richieste da quell'IP.

Questo sembra l'attacco più inutile di sempre. Cosa potrebbero sperare di ottenere? Originariamente c'era un errore di configurazione che ha portato il mio server di posta a rifiutare la posta dal mio proxy spam a causa dell'attacco, ma l'ho risolto qualche tempo fa e ancora continuano i tentativi.

Non disturba il mio server perché le richieste sono abbastanza lente e non un volume particolare. Non ha possibilità di trovare un nome utente funzionante in questo modo, soprattutto perché tutti i miei domini gestiti da questo server di posta sono molto piccoli (come 5 o 10 utenti totali). Si sta bruciando attraverso una serie di nodi botnet che possono essere segnalati. Sembra una quantità eccessiva di costi (rivelando IP contenenti bot) in relazione alle possibilità molto limitate di ottenere un beneficio (in base alla limitatezza della scansione). Questo tipo di cose è abbastanza comune su Internet e in qualche modo il mio server è rimasto al di sotto del radar fino ad ora (nonostante sia attivo da oltre 10 anni e in precedenza abbia avuto un sito di popolarità relativamente elevato)?

    
posta AJ Henderson 14.02.2014 - 19:45
fonte

2 risposte

3

Questi attacchi hanno poco o nessun costo e rischio per l'aggressore. Immagina se l'aggressore ha il controllo su una botnet di poche migliaia di computer. Questo è almeno un paio di migliaia di tentativi per username + pass. Se seleziona i nomi utente e le password più comuni, ha una possibilità (piccola, ma non ancora nessuna) di accedere al tuo sistema.

Anche se potresti non avere nulla di particolarmente prezioso da rubare, ora hanno un altro computer, che possono usare per compromettere gli altri, che potrebbero effettivamente avere dati preziosi.

Se questo viene fatto su centinaia di migliaia di domini, le possibilità di ottenere l'accesso ad almeno alcuni sono piuttosto buone.

Nessun costo + Nessun rischio = Tanti tentativi.

Probabilmente stanno controllando il tuo server di posta perché potrebbero avere timeout più lunghi della password. Ci sono molte persone che riutilizzano anche le password, quindi potrebbero essere fortunati.

    
risposta data 14.02.2014 - 20:23
fonte
1

Questa è probabilmente un'istanza di un attacco di forza bruta distribuita "bassa e lenta", che rappresenta l'ultima evoluzione degli attacchi di identificazione delle password che tentano di accedere e compromettere i computer connessi a Internet. L'esempio più pubblicizzato e studiato di questo che io conosca è il Hail Mary Cloud botnet . Sembra un attacco particolarmente mal fatto di questo tipo, ma non c'è nulla che dica che un attaccante deve essere competente ... ed è improbabile che il tuo piccolo dominio sia l'unico bersaglio.

Una spiegazione più lunga, di seguito:

Come tutti sappiamo, i computer connessi a Internet sono soggetti a un numero elevato di aggressori che effettuano tentativi di accesso non autorizzati su porte ben note, noti come "attacchi brute-fire brute force", in cui un attaccante lancia tanti tentativi di accesso, il più velocemente possibile su SSH, RDP e VNC (ecc.) in praticamente qualsiasi cosa riesca a trovare.

Da quando è in corso da molti anni, questi attacchi sono ben noti, facili da mitigare e sempre più inefficaci. Ricordo di aver letto da qualche parte su uno studio di sicurezza che ha ancorato il tempo medio tra un nuovo computer in linea e il suo primo tentativo di accesso non autorizzato di meno di 15 minuti. Di conseguenza, in questi giorni, è praticamente una configurazione predefinita (o in realtà è una configurazione predefinita con molti provider) per un nuovo computer con connessione a Internet che ha qualche meccanismo per eliminare il traffico da un IP che ha anch'esso molti accessi non riusciti in un periodo di tempo.

Quindi, gli aggressori si sono evoluti.

Invece di usare l'attacco di forza bruta "a fuoco rapido" che fondamentalmente non ha più speranza di funzionare, gli attaccanti avranno un gran numero di macchine sotto il loro controllo (di solito noleggiando una botnet), distribuiscono le loro liste di utenti / password, e le macchine inizieranno a provare a connettersi ai computer remoti e ad accedere. Per un singolo host attaccato, gli attacchi sono così bassi che di solito passano inosservati. Anche quando vengono notati, di solito l'unico risultato è un amministratore che grattandosi la testa, chiedendosi cosa sia successo, o quale fosse il punto. In aggregato, tuttavia, l'utilizzo di combinazioni di utenti / pass relativamente comuni, da un gran numero di macchine zombi, a un numero elevato di obiettivi, ha abbastanza successo da giustificare il costo dell'attacco, che in realtà non è poi così alto, considerando che a È possibile noleggiare una botnet di PC domestici compromessi.

Riguardo al perché SMTP piuttosto che SSH, anche un'evoluzione, e per gli stessi motivi. Le persone hanno capito che le persone stanno cercando di entrare in SSH. Quindi, ora questi attacchi vengono presi di mira contro qualsiasi cosa tu possa immaginare. C'è più di un modo per compromettere una macchina, e tutti prestano attenzione ai tentativi di login su SSH, ma il monitoraggio di Joomla per accessi non riusciti non è così diffuso .

    
risposta data 14.02.2015 - 09:28
fonte

Leggi altre domande sui tag