= Des EC2 malveillants tentent de se connecter à notre site WordPress (également hébergé sur AWS) Un signalement de point ? =

![ ](httpswww.redditstatic.com/desktop2x/img/renderTimingPixel.png)

Nous utilisons le plugin WordFence sur notre site Wordpress et avions l'habitude de recevoir environ 1 ou 2 e-mails "Utilisateur bloqué pour se connecter"par semaine concernant les tentatives de connexion à notre panneau d'administration WordPress, ceux-ci sont déclenchés lorsque le plugin bloque plus de 20 échecs de connexion tentatives à partir de cette adresse IP. Au cours des derniers jours, cela a atteint environ 50 de ces e-mails par jour où il semble que le même mauvais acteur intensifie vraiment ses tentatives pour accéder à notre site et saute entre différents EC2 dès que notre site bloque les tentatives de cette IP.

L'adresse IP et le nom d'hôte sont toujours des instances EC2 et j'ai commencé à les signaler à [email protected]. Cependant, l'équipe AWS Trust and Safety a déjà été confuse et a pensé que je signalais notre propre instance EC2 et a envoyé plusieurs fois un e-mail à notre CTO lui disant qu'il y avait eu des rapports d'utilisation malveillante de notre EC2, alors qu'en fait l'EC2 et l'adresse IP I'm les rapports ne sont certainement pas les nôtres (par exemple un EC2 à Tokyo, Colombus, etc.) Je pense que la confusion est qu'ils demandent à quoi l'EC2 essaie d'accéder et comme nous sommes également hébergés dans AWS, ils nous recherchent et nous trouvent plutôt que le coupable. Il devient assez pénible d'expliquer que je signale des intrusions sur mon site plutôt que de signaler le site lui-même et je m'inquiète même de voir notre propre AWS gelé dans une tentative d'identité erronée en essayant de signaler ces tentatives de connexion.

Quelqu'un a-t-il eu l'expérience de signaler ces situations, cela en vaut-il la peine ?

![ ](httpswww.redditstatic.com/desktop2x/img/renderTimingPixel.png)

Il semble que les adresses IP sources ne leur aient pas été clairement communiquées.

Fournissez-leur les journaux du serveur Web indiquant l'adresse IP source avec les horodatages et les URL qui sont consultées pour la connexion.

Ils contacteront le propriétaire des instances dans presque toutes les situations. Il est fort probable que quelqu'un héberge un site qui a été compromis et qu'il ne le sache pas.