0

プロキシサーバーの監査ログを確認すると、Base64でエンコードされているように見えるユーザー名またはパスワードに関する情報を含む大量のログインPOSTが表示されます。ログインが成功するとフォーラムスパムが発生することをトラフィックが示しているため、これは明らかにある種のマルウェア活動によるものですが、それは問題の焦点では​​ありません。

これらの実際の例を見てください(無実を保護するためにユーザー名を差し引いたもの):

2012-07-07 15:04:49,741 POSTデータ(bitstudyclub.org):username = ANONYMIZED&password = kc1ahpXXE&remember = yes&submit = Login&action = do_login&url =

2012-07-07 15:06:52,081 POSTデータ(www.vampirediaries.org):username = ANONYMIZED&password = KDbcZ75fg&remember = yes&submit = Login&action = do_login&url =

2012-07-07 15:08:37,983 POSTデータ(www.missionmountain.com):XID = 52ee69654fddd13d2a0323c95eaca5c7b736bdd8&ACT = 9&FROM = forum&mbase = http:% 2F%2Fwww.missionmountain.com%2Findex.php%2Fforums%2 1&RET = http:%2F%2Fwww.missionmountain.com%2Findex.php%2Fforums%2F&site_id = 1& username = ANONYMIZED&auto_login = 1&password = yn2b4ne9VC&sub mit = Login

2012-07-07 15:19:47,476 POSTデータ(www.diecutdesigner.com):username = ANONYMIZED&password = 8zcs13hzYH&remember = yes&submit = Login&action = do_login&url =

2012-07-07 15:20:36,729 POSTデータ(classjuice.com):username = ANONYMIZED&password = 8zcs13hzYH&remember = yes&submit = Login&action = do_login&url =

2012-07-07 15:20:43,866 POSTデータ(wodrpg.com):username = ANONYMIZED&password = 8zcs13hzYH&remember = yes&submit = Login&action = do_login&url =

この種のことを何度も見た後、私の質問は、Base64に見える「パスワード」文字列のエンコーディングをどのように理解するかということです。これらの文字列が実際の(MD5 / SHA1に見える)ハッシュである場合、レインボーテーブルをチェックすることで平文を復元できるように見えますが、「ランダムな非16進数があります。 string」から「これが私が知っている方法です(x)はそのランダムな文字列が派生したハッシュです。」

POSTエントリ(上記のような)から「パスワード」文字列を特定のエンコーディングとして識別し、それらを実際のパスワードハッシュに変換するにはどうすればよいですか?

4

1 に答える 1

0

彼らはおそらくハッシュではありません。それらはランダムな文字列です。

Base64でエンコードされている場合、長さは異なります(4で割り切れる)。

それで、おそらくこれらは、スパマーが以前に作成した(または以前に作成したと信じている)アカウントにログインしようとする試みですか?

HTTPフォームは通常、パスワードをプレーンテキストで送信します。そのため、httpsを使用する必要があります。

于 2012-07-08T10:25:45.797 に答える