= Kwaadwillende EC2 probeert in te loggen op onze WordPress-site (ook gehost op AWS) Heeft u zin ​​om dit te melden? =

![ ](httpswww.redditstatic.com/desktop2x/img/renderTimingPixel.png)

We gebruiken de WordFence-plug-in op onze Wordpress-site en kregen wekelijks ongeveer 1 of 2 'Gebruiker uitgesloten van inloggen'-e-mails over pogingen om in te loggen op ons WordPress-beheerderspaneel. Deze worden geactiveerd wanneer de plug-in meer dan 20 aanmeldingen blokkeert, maar deze zijn mislukt pogingen vanaf dat IP-adres. In de afgelopen paar dagen is dit gestegen tot ongeveer 50 van deze e-mails per dag, waarbij het lijkt alsof dezelfde slechte acteur zijn pogingen om toegang te krijgen tot onze site echt opvoert en tussen verschillende EC2's springt zodra onze site pogingen van dat IP-adres.

Het IP-adres en de hostnaam zijn altijd EC2-instanties en ik ben begonnen deze te rapporteren aan [email protected]. Het AWS Trust and Safety-team is echter al in de war geraakt en dacht dat ik onze eigen EC2-instantie rapporteerde en heeft onze CTO meerdere keren een e-mail gestuurd met de mededeling dat er meldingen zijn geweest van kwaadwillig gebruik van onze EC2, terwijl in feite de EC2 en het IP-adres ik'm-rapportage is zeker niet van ons (bijvoorbeeld een EC2 in Tokio, Columbus enz.). Ik denk dat de verwarring is dat ze vragen waartoe de EC2 toegang probeert te krijgen en omdat we ook in AWS worden gehost, zoeken en vinden ze ons eerder dan de dader. Het wordt behoorlijk pijnlijk om uit te leggen dat ik inbraken op mijn site rapporteer in plaats van de site zelf te rapporteren, en ik ben bang dat zelfs onze eigen AWS bevroren raakt in een poging tot identiteitsverwisseling bij het rapporteren van deze inlogpogingen.

Heeft iemand ervaring met het melden van deze situaties? Is het de moeite waard?

![ ](httpswww.redditstatic.com/desktop2x/img/renderTimingPixel.png)

Het lijkt erop dat de bron-IP-adressen niet duidelijk aan hen zijn bekendgemaakt.

Geef ze webserverlogboeken met het bron-IP-adres, de datum- en tijdstempels en de URL's die worden gebruikt voor het inloggen.

Zij zullen in vrijwel elke situatie contact opnemen met de eigenaar van de instances. Hoogstwaarschijnlijk host iemand een site die is gecompromitteerd en is hij zich er niet van bewust.