Sigmag - Sigmag

Det är allmänt känt att botar surfar runt för att försöka logga in på WordPress-sidor. Dessa använder listor på de vanligaste lösenorden som används, kallas brute-force. För varje försök byts det till ett annat ord i listan. Oftast är det utländska ord eller oläsbara kombinationer. Denna nättidning får ett hundratal sådana påhälsningar varje dag. Vissa dagar kan det vara flera tusen. Då och då dyker det upp riktiga hackare som försöker förstöra men än har de inte lyckats. Sedan Maj 2021 då och då har det dykt upp något mycket ovanligt.

Brute-force attacker från Finland

Sedan Maj 2021 har Sigmag ibland en del påhälsningar från Finland. Vi har några WordPress-sidor till. De får inga påhälsningar från Finland så vi är säkra på att attackerna medvetet riktas mot Sigmag, eller vad tycker du? Så här kan det se ut under en dag:

57 olika IP användes under några timmar varvid 91 inloggningsförsök blockerades. Efter 5 försök blockeras IP-adressen vilket betyder att det kan handla om (57×5=) 285 inloggningsförsök varvid 91 blockerades när de uppnått 5 försök.
De använder anonymiserat IP som oftast ser ut att komma från Tyskland men även andra länder kan förekomma. Med vanlig IP-spårare ser en av dem ut så här:

Med en IP-spårare som kan se ursprungsland (ibland kan också de andra spårarna se ursprungsland) ser samma IP som ovan ut så här:

Den visar också att det inte är en bot (=Human). Alltså sitter en eller några personer och riktar attacker mot Sigmag manuellt.

Gräver vi djupare kan man se att personen/personerna i Finland också gömmer sig bakom andra länders IP. Kontrollen går genom ett filter som med 60-70% säkerhet får fram de IP som hör ihop. Här är några av dem:

Varför de väljer just Sigmag eller att de sitter i Finland är lite annorlunda. En del liknande besök får vi från Norge. Besöken från Norge försöker inte logga in utan försöker med “riktig” hacking som ser ut så här:

Gör bort sig

Det är inte helt ovanligt att klantiga amatörhackare besöker sitt offer mellan brute-force-försöken men glömmer slå på sitt skydd eller bara är där för att “reka” som här:

Den Finska IP-adressen leder till:

IP-adressen leder alltså till Telia i Finland. Det ligger nära till hands att gissa det är samma person som de anonyma från Finland eftersom de kommer i samma grupp av besökare. Om vi anmäler det till polisen i Finland kommer ägaren till IP-numret att påstå hans wifi ligger öppet och vem som helst kan använda det eller att en kompis lånade hans dator och bla, bla, bla. Om vi anmält det till polisen eller Telia är dock inte något vi normalt avslöjar. Ett tips är att vi tycker synd om folk som är så desperata av hat.

Inte ovanligt med hackerbotar

Det tillhör numera vanligheterna att speciellt WordPress-sidor får påhälsningar av botar som försöker logga in. Det kan vara mellan några enstaka till flera tusen botar per dygn som vill kunna ta över WordPress-sidor. Av vilken anledning kan man fråga sig. Antagligen gör det detta “bara för att de kan”. Men att det kommer verkliga person som försöker logga in då och då är mycket ovanligt men sker då och då.

Till sist denna bild från ett hackerforum. Det är en flashbackare som hatar oss efter att vi hittat hans identitet så ett åtal kunde genomföras. Han blev så stött av att vi kunde hitta honom att han försöker locka hackare till att hacka vår nättidning (som tidigare hette ifolkets.intre.se):

Ingen av dem lyckades hacka vår nättidning trots “VERY VERY large” och “huge” attacker.
Vi vet vem Extr22 och Sons_of_Anarchy är men har inte hört av dem på länge.