= Bösartiger EC2 versucht, sich bei unserer WordPress-Site anzumelden (ebenfalls auf AWS gehostet) Irgendwelche Hinweise? =

![ ](httpswww.redditstatic.com/desktop2x/img/renderTimingPixel.png)

Wir verwenden das WordFence-Plug-in auf unserer Wordpress-Website und erhielten früher etwa 1 oder 2 E-Mails mit dem Hinweis „Anmeldung des Benutzers gesperrt“ pro Woche bezüglich Anmeldeversuchen in unserem WordPress-Admin-Panel. Diese werden ausgelöst, wenn das Plugin mehr als 20 fehlgeschlagene Anmeldungen blockiert Versuche von dieser IP. In den letzten Tagen hat sich dies auf etwa 50 dieser E-Mails pro Tag ausgeweitet, bei denen es so aussieht, als würde derselbe schlechte Schauspieler seine Versuche, Zugang zu unserer Website zu erhalten, wirklich verstärken und zwischen verschiedenen EC2s wechseln, sobald unsere Website Versuche blockiert diese IP.

Die IP-Adresse und der Hostname sind immer EC2-Instanzen und ich habe damit begonnen, diese an [email protected] zu melden. Das AWS Trust and Safety-Team war jedoch bereits verwirrt und dachte, ich würde unsere eigene EC2-Instanz melden, und schickte unserem CTO mehrmals eine E-Mail, in der ihm mitgeteilt wurde, dass es Berichte über die böswillige Nutzung unseres EC2 gegeben habe, obwohl in Wirklichkeit die EC2- und IP-Adresse I'm-Berichte sind definitiv nicht unsere (z. B. ein EC2 in Tokio, Colombus usw.). Ich denke, die Verwirrung besteht darin, dass sie danach fragen, worauf der EC2 zuzugreifen versucht, und da wir auch in AWS gehostet werden, suchen und finden sie uns eher als der Täter. Es ist ziemlich schmerzhaft zu erklären, dass ich Eindringlinge in meine Website melde, anstatt die Website selbst zu melden, und befürchte, dass ich sogar unser eigenes AWS bei einem Versuch einer falschen Identität einfrieren lasse, der versucht, diese Anmeldeversuche zu melden.

Hat jemand Erfahrung damit, solche Situationen zu melden, ist es die Mühe wert?

![ ](httpswww.redditstatic.com/desktop2x/img/renderTimingPixel.png)

Es hört sich so an, als ob ihnen die Quell-IP-Adressen nicht klar gemacht wurden.

Stellen Sie ihnen Webserverprotokolle zur Verfügung, die die Quell-IP mit Datums- und Zeitstempeln und den URLs zeigen, die für die Anmeldung aufgerufen werden.

Sie werden sich in fast jeder Situation an den Eigentümer der Instanzen wenden. Höchstwahrscheinlich hostet jemand eine Website, die kompromittiert wurde, ohne sich dessen bewusst zu sein.