Sto eseguendo un numero di siti web. Sono tutti basati su Drupal, se questo è rilevante. Recentemente ho notato qualcosa di strano. Tutti i miei siti hanno un utente registrato con il nome "zctonglin". Presumo che l'utente sia uno spammer a causa di alcuni comportamenti iniziali tipici di uno spammer. Sulla base di ciò, questo utente è stato bloccato su tutti i miei siti per alcune settimane. La cosa strana è che più volte ogni giorno ricevo ancora alcuni tentativi di accesso come "zctonglin". Questi tentativi provengono da una varietà di IP diversi, il che li rende improbabili che provengano da un singolo computer o rete. Potrebbero provenire da macchine controllate, naturalmente.
Gli indirizzi email (necessari per una registrazione in due passaggi sui miei siti) utilizzati per la registrazione sono ovviamente di quelli usa e getta.
Facendo un po 'di ricerche in rete. Ho notato un sacco di spam da parte di zctonglin su molti, molti siti. Google restituisce oltre 300.000 hit per zctonglin, ma poiché molti di questi sono utenti su una varietà di siti Web, non è una ricerca molto utile, anche se all'interno di questi risultati potrebbe esserci qualcosa di più rilevante per la mia indagine. Non l'ho ancora trovato. "zctonglin" è un nome insolito, penso che sia più che una semplice coincidenza. Mi chiedo se esista un software di exploit automatizzato con zctonglin impostato come utente predefinito. Questo spiegherebbe le cose con mia soddisfazione. In caso contrario, il numero molto elevato di tracce di zctonglin su Internet mi fa chiedere se ci sia qualcosa di più sinistro in gioco qui.
Potrei installare un sito fittizio, attendere la registrazione di zctonglin (che suppongo lui / lei, specialmente se collego da un sito esistente), o consentirgli di registrarmi su un sito di destinazione corrente (io sono molto riluttante a fare questo per l'ovvia implicazione della sicurezza) e vedere cosa sta facendo esattamente, ma dubito che imparerei di più che mi dà la ricerca di Google su zctonglin. Quindi, io preferirei ottenere una spiegazione da un asso della sicurezza! :)
Qualcuno ha avuto qualche idea su questo fenomeno, qualcosa da aggiungere o un suggerimento su cosa fare dopo? Nessuno dei siti che gestisco è stato compromesso in ogni caso ancora, afaik. Almeno non riesco a trovare alcuna prova di ciò, ma non sono felice di lasciar riposare le cose quando non le capisco.
Grazie per l'aiuto
Modifica per ulteriori informazioni:
Uno dei siti è un sito con poco traffico tranne che per gli spammer (che vengono moderati e non rappresentano un problema se non per la larghezza di banda e la CPU). E 'molto nuovo (10 settimane dal vivo) e ha pochissimi contenuti sostanziali. Letteralmente non riceve nessuna, una o due visite al giorno, tuttavia zctonglin tenta il suo login circa 10 volte al giorno su quel sito e lo ha fatto per circa 6 settimane (da ip molto diversi ogni volta).
Quindi, se è un singolo individuo, probabilmente usa macchine compromesse dappertutto.
La mia preoccupazione sarebbe più uno scenario in cui l'utente zctonglin agisce da backdoor per molti hacker.
Suppongo che, se voglio davvero arrivare a fondo, dovrò impostare un honeypot che volevo evitare a causa del lavoro svolto.