Storm av nya medlemsregistreringar

[Anders M Olsson]

Sen några månader tillbaka är det en "storm" av nya medlemsregistreringar. Det är medlemmar som bara registrerar sig, men aldrig postar. Det handlar om c:a 5-10 om dagen.

De flesta har det gemensamt att det är ett engelskklingande förnamn följt av ett par bokstäver och siffror. Dessutom tycks deras mailadresser innehålla helt andra namn och bokstavskombinationer som inte alls påminner om det valda användaraliaset.

Det måste röra sig om intrångsförsök, bedrägeriförsök, försök att etablera plattform för spam eller något annat oseriöst.

Finns det inte möjlighet i forumet (kanske med någon plugin) att efter en viss tid automatiskt ta bort användare som aldrig har postat?

[Jabberjaw]

  det är väl inget konstigt. Ena månaden har forumet aktiva gäster ~0-30st. Och helt plötsligt 2019> så har det varit 200-400 konstant oavsett tid på dygnet.

Så det är nog mer än medlemmar som reggar sig som spökar i den här webb plattformen som sidan byggs på.

[Anders M Olsson]

Det är trots allt en viss skillnad mellan gäster som bara läser och personer som aktivt registrerar sig. När det är så många som registrerar sig med likartat uppbyggda alias utan att sen posta något måste det ligga någon illvillig avsikt bakom. Att det kan finnas enstaka personer som registrerar sig utan att sen posta är inget att säga om, men antalet registreringar och kontonamnens uppbyggnad gör att varningsklockorna ringer!

Det här är inte normalt beteende, utan något som Daniel bör undersöka. Kommer t.ex. alla registreringarna från samma ip-adress, samma subtnät, samma land etc.?

[Daniel Hofverberg]

Det här är inte normalt beteende, utan något som Daniel bör undersöka. Kommer t.ex. alla registreringarna från samma ip-adress, samma subtnät, samma land etc.?

Jag ska undersöka saken.

[gstone]

Varför är ni alla så mistänksama ?

[Anders M Olsson]

Varför är ni alla så mistänksama ?

Om man har en server på internet måste man hela tiden vara uppmärksam på allt som avviker från normalt beteende. Det pågår hela tiden intrångsförsök och annat fuffens. Säg t.ex. att någon lyckas hacka sig in på Dubbningshemsidans server och få administratörsbehörighet. Då skulle servern kunna användas för att sprida spam eller för att hacka sig vidare in på känsligare system - banker, sjukvård m.m. Genom att använda en på det viset "kapad" server kan missdådaren dölja sin egen identitet.

[Anders M Olsson]

Sen den 30 januari, när det här började, har 575 nya medlemmar registrerat sig. Men av dem har bara 7 skrivit några inlägg alls.

Varje dag registrerar sig 5-10 nya (falska) medlemmar där nästan alla har användarnamn enligt samma formel: Ett engelskklingande förnamn, två bokstäver och en eller ett par siffror. En del har bara två bokstäver följt av en eller ett par siffror.

Man kan verkligen undra vad den här personen eller personerna egentligen har för avsikter?

[Elios]

Som idag så fyller tre stycken här år samma dag och alla registrerade sig exakt samma datum. Är det dom du menar?
Nu var det iof längesen dem registrerades men kan det vara så om dem inte alla registrerade sig för inte alls så värst längesen och har kommit åt att ändra sitt datum på registrering på något vis? 

[Elios]

Hackers vill säga. 

[Anders M Olsson]

Som idag så fyller tre stycken här år samma dag och alla registrerade sig exakt samma datum. Är det dom du menar?

Nej, det var inte dem jag menade. De där tre som fyller år på samma datum är nog samma person som har haft strul med registreringen och försökt göra om det flera gånger. Tråkigt för henne, men annars inget att hänga upp sig på.

Gör istället så här: Klicka på Medlemmar / Visa medlemslistan i menyraden. Klicka sen på rubriken Registreringsdatum två gånger så att du får medlemslistan sorterad så att de sist registrerade visas först.

Då kommer du att få se sida upp och sida ner med medlemmar som har registrerat sig under de senaste månaderna men aldrig postat.

[Daniel Hofverberg]

Det här är inte normalt beteende, utan något som Daniel bör undersöka. Kommer t.ex. alla registreringarna från samma ip-adress, samma subtnät, samma land etc.?

Jag har tagit mig en titt på de 20 senaste medlemmarna, och ingen av dem kommer från samma IP-adress eller ens samma subnät - och dessa 20 kommer från 10 olika länder. Flera av e-postadresserna är dock misstänkt snarlika varandra, om än inte identiska.

Jag har dolt IP-adresserna, men så här ser det ut med länderna:

lisawy16: Österrike (samma IP-adress som en medlem som registrerades den 3 juni)
leaco3: USA (samma IP-adress som 4 andra medlemmar)
Lillefot: Sverige
roxieur18: Nederländerna (samma IP-adress som 3 andra medlemmar)
lilianahs1: Nederländerna (samma IP-adress som 4 andra medlemmar)
coreywv2: Danmark (men enligt whois-informationen är det en IP-adress som används för Tor)
latoyalt11: Ukraina (samma IP-adress som 3 andra medlemmar)
MagnusH: Sverige
jx2: Tyskland (samma IP-adress som en annan medlem som registrerades i april)
taylorqg11: Storbritannien
luciaxo1: Tyskland
lakishavw16: Tyskland (men enligt who-informationen är det en IP-adress som används för Tor - och samma IP-adress som en medlem registrerad i augusti 2021)
janetxi60: Tyskland (men enligt who-informationen är det en IP-adress som används för Tor)
hh3: Sverige
lorietk16: USA
ivajp16: Frankrike (men whois-informationen skulle kunna tyda på att IP-adressen används för Tor)
lenoregp2: Nederländerna
jacquelinesm69: Nederländerna (men enligt who-informationen är det en IP-adress som används för Tor)
paulajo2: Nederländerna (men enligt whois-informationen är det en IP-adress som används för Tor)
juananu2: Luxemburg (men enligt who-informationen är det en IP-adress som används för Tor)

Det mest uppenbara varningstecknet här är ju det faktum att 7 av de 20 medlemmarna har IP-adresser som används för Tor; varav man kan misstänka att kanske ännu fler av IP-adresserna också gör det men utan att ha märkt ut det. För er som inte känner till det, så är Tor ett anonymiseringsnätverk där surfande går via slumpvis utvalda noder runt om i världen, så att man i princip är 100% anonym - ett nätverk som vanligtvis används för att komma åt darknet, och som ju ofta används för mer eller mindre ljusskygga aktiviteter.

Nu finns det förvisso många fullt legitima användningar av Tor, men fortfarande är det väl såvitt jag vet inget som gemene man i västvärlden använder för helt vanligt surfande eller att besöka helt oskyldiga webbsajter; utan vanligtvis bara något man tar till när man behöver vara anonym - med andra ord sannolikt inte något som de flesta tar till för allt surfande på nätet, utan bara när så behövs. Bor man i länder där Internet är censurerat och/eller övervakat är ju exempelvis Tor ovärderligt, men sannolikheten att seriösa levande människor bosatta i Kina, Nordkorea eller Ryssland skulle besöka Dubbningshemsidan och kunna svenska lär väl vara tämligen begränsad...


Så den stora frågan är alltså om alla dessa medlemmar, eller åtminstone en stor andel av dem, är en och samma person/robot; eller om det rör sig om en organiserad insats med många personer inblandade...? Och vad är egentligen syftet...? Är syftet att publicera eller skicka spam, men att den/de aldrig lyckats komma längre än till registreringen? Eller ännu mörkare avsikter än så?

Och varför registrera konton, men sen inte göra något annat...? Finns det någon form av säkerhetshål i forumprogramvaran SMF, som gör det möjligt att kunna komma undan CAPTCHA-kontrollerna vid registrering av medlemmar; men som inte fungerar för att skriva inlägg...? Eller vad finns det för annan anledning till att skapa så många konton, men sen inte göra något med dem; trots att det är samma CAPTCHA-kontroll för att skriva inlägg som för att registrera medlemskonton...?

Vissa av dessa medlemskonton kan säkert vara legitima användare, som bara inte har kommit sig för att posta något än, men det är sannolikt inte förklaringen för merparten av dem...

[Anders M Olsson]

Nu var det länge sen jag själv registrerade mig som medlem, så jag minns inte riktigt den fullständiga proceduren.

Men är det inte så, att när man har registrerat sig får man ett mail som man måste reagera på för att bli fullständig medlem? Kommer man med i medlemslistan utan att ha fullföljt registreringen, eller har alla "spökmedlemmarna" fullföljt registreringen och bekräftat sina mailadresser?

Om alla de här kontona "hänger i luften" med obekräftade mailadresser borde det väl gå att ta bort dem efter t.ex. en vecka? Det skulle ge en rimligt generös frist för att fullfölja registreringen.

Om registreringarna är fullföljda och mailadresserna bekräftade borde det ändå gå att ta bort inaktiva konton ("Aldrig postat" och/eller "Senast aktiv: Aldrig") efter en lite längre frist, t.ex. två månader.

Om forumprogramvaran inte har det inbyggt kanske det finns någon plug-in som städar kontodatabasen enligt sådana kriterier?

[Daniel Hofverberg]

Alla utom en av de senaste 20 är fullföljda och aktiverade, genom att följa länken i e-postmeddelandet; vilket ju alltså också bevisar att de har tillgång till den e-postadress de uppgett. Jag vet inte om andra kan se det, men åtminstone för mig visas det ett meddelande "Kontot är inte aktiverat" när jag går in i en profil, om den faktiskt inte är aktiverad än (d.v.s. att personen inte har följt länken i mailet).

Om registreringarna är fullföljda och mailadresserna bekräftade borde det ändå gå att ta bort inaktiva konton ("Aldrig postat" och/eller "Senast aktiv: Aldrig") efter en lite längre frist, t.ex. två månader.

Om forumprogramvaran inte har det inbyggt kanske det finns någon plug-in som städar kontodatabasen enligt sådana kriterier?

Jag ska undersöka saken.

[Anders M Olsson]

Alla utom en av de senaste 20 är fullföljda och aktiverade, genom att följa länken i e-postmeddelandet; vilket ju alltså också bevisar att de har tillgång till den e-postadress de uppgett. Jag vet inte om andra kan se det, men åtminstone för mig visas det ett meddelande "Kontot är inte aktiverat" när jag går in i en profil, om den faktiskt inte är aktiverad än (d.v.s. att personen inte har följt länken i mailet).

Om kontona faktiskt blir aktiverade via e-post blir saken ännu konstigare. Alla, eller de flesta, spökmedlemmarna har e-postadresser som ser ut att vara minst lika slumpmässiga och tillfälliga som användarnamnen här.

Jag förmodar att det går att automatisera hela processen med ett script som registrerar en tillfällig e-postadress någonstans, lägger upp en ny användare här, läser aktiveringsmailet och aktiverar kontot. Eller så kan man ha en stab av lågt betalda indier som sitter och gör det manuellt.

Men det är verkligen ett mysterium varför någon skulle göra sig så mycket besvär för att skapa en massa konton som sen inte används? Jag har svårt att tro att det finns något legitimt skäl, utan det ligger alldeles säkert oärliga orsaker bakom. Frågan är bara vilka?

Finns det inte något supportforum för sysopar där du kan fråga om andra med samma plattform har upplevt liknande fenomen?

[Daniel Hofverberg]

Men det är verkligen ett mysterium varför någon skulle göra sig så mycket besvär för att skapa en massa konton som sen inte används? Jag har svårt att tro att det finns något legitimt skäl, utan det ligger alldeles säkert oärliga orsaker bakom. Frågan är bara vilka?

Jag drar samma slutsats, men frågan är som sagt vad avsikten egentligen är...?

Om det "bara" handlade om att posta spam, så borde man ju inte behöva så många konton - då räcker det ju med en handfull medlemskonton, så skulle dessa orsaka tillräckligt stora besvär för att bli svårhanterligt om alla postar spaminlägg samtidigt. Och i så fall borde de ju ha kommit igång med spammandet för länge sen...

Finns det inte något supportforum för sysopar där du kan fråga om andra med samma plattform har upplevt liknande fenomen?

Jag ska ta och läsa runt på forumprogramvaran SMFs supportforum, och se om någon annan där har rapporterat liknande fenomen. Det forumet är för övrigt åtkomligt för vem som helst, om någon har tid över:
https://www.simplemachines.org/community/

Sen finns det säkert andra forum för ändamålet, men jag känner inte till några på rak arm.