Wie sollte eine Site auf automatisierte Anmeldeversuche mit falschen Benutzernamen reagieren?

In den letzten Wochen habe ich auf meiner Website einen konsistenten Stream von 15 bis 30 ungültigen Anmeldeversuchen pro Stunde gesehen. Viele von ihnen sind unsinnige Benutzernamen, die niemand jemals für echt registrieren würde, und enthalten häufig typische Spam-bezogene Schlüsselwörter. Sie kommen alle von unterschiedlichen IP-Adressen, daher kann ich die Anforderungen nicht einfach per IP blockieren / drosseln.

Ich mache mir keine Sorgen über den unbefugten Zugriff auf echte Konten, da diese keine echten Benutzernamen verwenden. Und wenn ein Mitglied meiner Website versucht, Brute-Force-Anmeldungen zu erzwingen, könnten sie leicht die gültigen Benutzernamen von der Website entfernen, sodass ich mir auch keine Sorgen über diese Art von böswilligem Verhalten mache. Aber wozu dient diese Art von Aktivität? Was müsste der Bot-Betreiber, der dies tut, durch den Versuch, alle diese Anmeldungen vorzunehmen, gewinnen?

Aber wozu dient diese Art von Aktivität?

Ihre Vermutung ist so gut wie die anderer - vielleicht versucht der Betreiber fälschlicherweise, auf eine Reihe von Spam-Konten zuzugreifen, die an anderer Stelle erstellt wurden? (oder solche , die wurden angeblich auf Ihrer Website erstellt werden , aber aus irgendeinem Grund nicht)

Edit: ... zu deiner ersten Frage sprechen:

Wie sollte eine Site auf automatisierte Anmeldeversuche mit falschen Benutzernamen reagieren?

Es ist keine gute Idee, potenzielle Angreifer darüber zu informieren, ob das Konto, bei dem sie sich anmelden möchten, vorhanden ist oder nicht. Andernfalls ist keine besondere Antwort erforderlich (es sei denn, die Anzahl der fehlerhaften Anforderungen beeinträchtigt die Leistung).

Ein typisches Formular "Ungültiger Benutzername oder ungültiges Passwort" + "Bitte geben Sie Ihre E-Mail-Adresse ein, um mit dem Abrufen des Kontos zu beginnen" sollte bereitgestellt werden.

Brute Force funktioniert. Zeitraum. Das bedeutet nicht, dass sie Ihre Website gefährden werden, aber wenn sie dies auf genügend Websites versuchen, werden sie irgendwann irgendwo hineinkommen. Es ist eine bedauerliche Tatsache, dass viele Websites schlecht gestaltet und / oder erstellt sind und Angriffe wie diese funktionieren. Grundsätzlich ist es das gleiche Prinzip Spam. Spammer Spam, weil es funktioniert. Selbst wenn nur 0,01% der Benutzer antworten, wenn Sie Millionen von E-Mails versenden, wird dies plötzlich zu einer Menge Benutzer und führt zu einer Menge Geld.

Wenn die Benutzernamen oder IPs ein Muster aufweisen, werden diese Anforderungen offensichtlich blockiert. Andernfalls vertrauen Sie einfach darauf, dass Ihre Website gut aufgebaut und für diese Art von Angriff nicht anfällig ist.

Ich sehe diese Art von Verhalten auch auf meiner Website. Obwohl es schwer zu beweisen ist, denke ich, dass es nur ein Bot ist, der Ihre Website crawlt und Formulare ausfüllt, in der Hoffnung, dass jede Einreichung, die sie machen, irgendwie öffentlich sichtbar sein könnte. Die Bots scheinen nicht sehr schlau zu sein, da sie ein Konto-Registrierungsformular nicht von einem Blog-Kommentarformular unterscheiden können, also füllen sie sie einfach alle aus.

Wenn Sie ähnliche Aktivitäten auf anderen Formularen auf Ihrer Website sehen, könnte dies genau das sein, was mit Ihnen passiert. Mein Vorschlag wäre, Ihrem Formular ein verstecktes Captcha hinzuzufügen. Fügen Sie beispielsweise ein Textfeld mit dem Namen "URL" hinzu (URL-Felder sind ein großartiger Spammer-Köder), das über CSS vor menschlichen Benutzern verborgen ist (Anzeige: keine). Wenn dieses Feld beim Senden ausgefüllt wird, wissen Sie, dass Sie es ignorieren können. Es gibt viel mehr Methoden, um mit Bots umzugehen, aber oft reichen die einfachen Dinge aus.

Aber wozu dient diese Art von Aktivität?

Meine Website wurde mit einer böswilligen Weiterleitung infiziert, und ich bin mir ziemlich sicher, dass dies durch diese Art von Anmeldeangriff geschehen ist, vor dem sie nicht gut geschützt war. Die Weiterleitung ging zu "Herzlichen Glückwunsch, Sie sind der millionste Benutzer ...!" Phishing-Site, die ihre Schöpfer Geld verdienen. Das könnte also eine Motivation sein, dies zu versuchen.