請先參考2017年6月寫的這篇文章:
每天都有「世界各國駭客」光臨insoler,不斷嘗試註冊惡意帳號、廣告帳號
其實我從BNW網站開始,就與駭客奮戰多年,如果是從2000年到現在的話,也奮戰了超過18年!所以累積了非常多的駭客奮戰經驗,然而,到目前為止,卻沒有任何一個駭客能成功入侵BNW與insoler網站,竄改網頁(在2000年代左右比較盛行)、注入惡意程式(包括注入惡意網址、惡意JavaScript程式碼)、SQL Injection注入惡意資料到MySQL... 等。
然而雖然是這麼說,駭客唯一成功的是「SQL Injection注入惡意資料到MySQL」到BNW網站相簿使用的舊版Gallery 2.3(在2008年釋出的版本)的相片評論功能。張貼了許多垃圾廣告!
Gallery 2.3 (Skidoo) Released!
雖然早就有大改版的Gallery 3.0版,但是BNW網站卻無法升級,因為Gallery 3.0與Gallery 2.3完全不相容,甚至連相片的網址都完全不同!如果升級到Gallery 3.0的話,將會造成以前貼的照片,全部都無法顯示!也會造成phpBB與Gallery 3.0無法連結,導致無法貼新的照片到BNW網站上!
由於BNW網站早已被我列入停止更新的網站,因此我發現相片評論被駭客張貼了許多垃圾廣告以後,我就關閉相片評論功能。
只要在BNW或是insoler網站註冊一個使用者帳號(BNW早已停止註冊新的帳號),就可以看到全部的會員列表。你應該會發現幾乎沒有任何的奇怪帳號!甚至也沒有每天都有一些新的會員註冊新的帳號!
事實上,全世界所有的CMS(這是Content Management System內容管理系統的縮寫,所謂CMS也就是網站的架站系統。例如著名的WordPress部落格系統,就是一個CMS系統)只會記錄「註冊成功」的帳號內容,並不會記錄「註冊失敗」的帳號資訊。
所以我自己寫了一個PHP程式碼,用來記錄駭客們的「註冊失敗資訊」,並透過insoler的信件功能來通知我自己。你可以看到在網頁的右下角目前有16封新的郵件。這個「郵件」並不是真的e-mail信件,所以不會寄送到任何一個@gmail.com的信件,只能在insoler網站上使用。
點選網頁的右下角的「郵件」就會看到許多「駭客的惡意帳號註冊機」的信件。而且總共的信件並不是只有16封,而是已經累積了66封信件。這還只是我在2天前決定「關閉註冊時的圖形認證碼」功能,才又開始記錄駭客們的「註冊失敗資訊」,並自動寄信給我自己。
「駭客的惡意帳號註冊機」的信件內容就像這樣。你可以看到那些「天才駭客」「駭客技術=0」的「笨蛋駭客」們,竟然在「真實圖形識別碼」輸入一個E-mail帳號!
所謂「註冊時間」是指按下insoler網站右上角的「加入或登入」按鈕開始計算,到最後按下「現在加入」的按鈕為止。如果是「真實的人類」希望在insoler網站上註冊一個新的帳號,從輸入帳號名稱、密碼2次(包含確認密碼,以避免密碼輸入錯誤)、姓名、居住城市等,絕對不可能在「6秒」以內完成!只有駭客的BOT註冊程式才有可能在少於20秒以內完成註冊!
事實上,就算是我使用「複製貼上」的方式,先在記事本輸入要註冊的帳號、密碼等資料,單純複製貼上到insoler網頁上,完成註冊動作也絕對會超過20秒!
因此,記錄「註冊時間是否低於20秒」也是一種判斷是否是真實人類,或是駭客的BOT註冊程式也是一種判斷的方式。就算駭客的「Auto Exploit (wordpress - joomla - drupal ..etc)」可以正確判斷「真實圖形識別碼」輸入正確的「insoler」文字,但只要「註冊時間低於20秒」仍然會被insoler的註冊系統程式認為是註冊失敗!因為「真人」絕對不可能用短短6秒內完成輸入帳號、密碼、圖形認證碼等動作!
除了「笨蛋駭客」們,竟然在「真實圖形識別碼」輸入e-mail帳號以外,也會看到輸入24這樣的數字。當然,除了「insoler」以外的任何「真實圖形識別碼」都是錯的!很顯然那些「笨蛋駭客」們不但失敗,而且還錯很大!
錯很大的理由甚至包括連「隱藏動態圖形識別碼」都只能得到一個「Error-NoSubscriptionDetected」的錯誤訊息!我猜想大概是某個駭客使用某個「BOT註冊程式」的「圖形識別碼」識別程式,因為完全看不懂圖片內容,反而回傳一個Error的錯誤訊息!但是那個「笨蛋駭客」竟然連「BOT註冊程式」回傳的Error錯誤代碼都沒有處理,就直接貼到insoler網站上。用Error錯誤訊息來當「圖形識別碼」這樣也想要註冊成功?這是絕對不可能的事!
雖然註冊時間是30秒,有超過「至少20秒」的限制,但無論駭客的註冊程式花多少時間,也許甚至會故意發呆,讓註冊時間超過30秒以上,只要無法輸入正確的「圖形識別碼」(也就是insoler。這同時也是網站名稱)就絕對無法註冊成功!
「笨蛋駭客」們在「真實圖形識別碼」輸入e-mail帳號、24(年齡)的數字以外,還會輸入Rolando(某個英文姓名)。
「笨蛋駭客」們在「真實圖形識別碼」輸入e-mail帳號、24(年齡)的數字、某個英文姓名、甚至可能會輸入「Poland」波蘭的國家名稱。
那麼,insoler網站正確的「真實圖形識別碼」到底是什麼?當然就是我前面說過的「insoler」。只要輸入的識別碼不是「insoler」就絕對不可能註冊成功!
另外一個值得注意的事情就是「註冊的IP位址」這個資訊。雖然insoler網站並不會記錄「註冊帳號的IP位址」,而且我知道電腦的IP位址可以被駭客隱藏或是竄改真實的IP位址,記錄「註冊的IP位址」的意義並不大。但還是可以記錄一下,研究參考看看。
想要知道「註冊的IP位址」到底是來自哪個國家?其實有很多網站提供「WHOIS」這是誰?的類似功能,可以讓你查詢某個IP位址是來自哪個國家?哪一個電信公司等。
WHOIS IP Lookup Tool | UltraTools
你可以在Go前面輸入網址或是電腦的IP位址。
你可以看到WHOIS的查詢結果,這個IP位址是來自中國!如果是電腦技術非常高的駭客,這個IP位址很可能是偽造的數字。但如果是技術很差的駭客,這個IP位址是真實IP位址的可能性就會變的很高。
另外一個IP位址同樣也是來自中國!
不過,並不是所有IP位址都可以被WHOIS正確解讀,找不到分配這個IP位址的國家、電信公司,就會看到這樣的訊息。
找不到正確資訊的時候,只好換其他網站來測試看看,例如這個Network Tools網站就可以找到正確的資訊:
NetRange: 37.0.0.0 - 37.255.255.255
CIDR: 37.0.0.0/8
NetName: RIPE-37
NetHandle: NET-37-0-0-0-1
Parent: ()
NetType: Allocated to RIPE NCC
OriginAS:
Organization: RIPE Network Coordination Centre (RIPE)
RegDate: 2010-11-30
Updated: 2011-01-17
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
netnum: 37.57.18.0 - 37.57.18.255
netname: TRIOLAN
country: UA
admin-c: OVY5-RIPE
tech-c: OVY5-RIPE
status: ASSIGNED PA
mnt-by: TRIOLANMNT
mnt-domains: ROGANMNT
mnt-routes: ROGANMNT
created: 2016-10-19T12:14:33Z
last-modified: 2016-10-19T12:14:33Z
source: RIPE
當然也會有「笨蛋駭客」們在「真實圖形識別碼」輸入e-mail帳號、24(年齡)的數字、某個英文姓名、甚至可能會輸入「United States」美國的國家名稱。
那麼,駭客註冊的IP位址真的是位於美國的某一個地區嗎?經過確認以後,發現真的是的「United States」的「Las Vegas」拉斯維加斯的賭城。對於駭客技術非常差的笨蛋駭客來說,輸入註冊的國家是「United States」,而且駭客的所在位置就真的是位於「Las Vegas」可能性就非常高。因為他輸入的都是真實的資料。
但是對於駭客技術非常高明的駭客來說,這些資訊以及電腦IP位址就完全不可相信。只能從註冊資料來看,這個駭客知道位於「United States」的「Las Vegas」拉斯維加斯是使用哪些IP位址,他就故意竄改自己的電腦IP位址,或是入侵真實位於「Las Vegas」拉斯維加斯的某一台電腦,再利用「遠端遙控電腦主機」的方式,使用那台電腦來隱藏駭客真實的IP位址與駭客身份,從遠端電腦來攻擊、入侵、惡意註冊其他網站!
無論駭客是使用自己的電腦,以及真實的中國的IP位址,或是入侵位於「Las Vegas」拉斯維加斯的某一台電腦,再利用「遠端遙控電腦主機」的方式,使用那台電腦來隱藏駭客真實的IP位址與駭客身份,透過遠端電腦來惡意註冊insoler網站... 這些駭客們的下場都是「全部失敗」沒有一個駭客可以註冊成功!
也因此在研究完畢以後,我就點選「全選」的「所有」,並按「刪除」來清除這些垃圾信件。
事實上這並不是我第一次研究駭客的註冊帳號行為,在這之前也研究過好幾次,只是一直以來都沒有公開過,也沒有公開說明過。由於我的郵件信箱裡面累積超過66封的大量信件(只要繼續多觀察、多記錄幾天、幾個星期,超過幾百封、幾千封也不奇怪),淹沒了來自insoler真實會員的重要信件,我就關閉了自動記錄駭客註冊資訊的功能。
以免遺漏了重要的會員信件,卻有一堆不重要的駭客註冊的垃圾信,堆滿在insoler的信箱裡。
或許你會很好奇,到底這66封信件的內容是什麼?其實真的沒有必要知道那些「隨便亂寫」的內容!以前我甚至還有記錄「自我簡介」的欄位,駭客會在「自我簡介」張貼垃圾訊息,而不是把垃圾廣告貼在網站上。因為如果直接貼在網站上就會非常明顯,被很多人看到。
駭客的目的只是隨便輸入某個e-mail,再也不會使用的隨意密碼,以亂數的方式產生的隨機年齡、姓名、國名等。真正的目的是在「自我簡介」或是註冊成功以後,在網站的討論區、部落格上張貼垃圾廣告而已!
因此,既然「愚蠢駭客」們「隨便亂寫」的內容,當然就沒有全部都公開貼在這裡的必要。
雖然沒有任何愚蠢的「笨蛋駭客」們可以註冊成功,但如果是「真實人類」想要在insoler網站上註冊一個帳號,與會員們交流,發表出國旅行時拍的照片,當然是沒有任何問題,而且註冊方式也非常簡單,比任何網站都還要更加簡單。
請繼續閱讀這篇文章: