= Tentativa maliciosa do EC2 de fazer login em nosso site WordPress (também hospedado na AWS) Algum relatório de ponto? =

![ ](httpswww.redditstatic.com/desktop2x/img/renderTimingPixel.png)

Usamos o plug-in WordFence em nosso site Wordpress e costumávamos receber cerca de 1 ou 2 e-mails de 'Usuário bloqueado para entrar'por semana sobre tentativas de login em nosso painel de administração do WordPress, que são acionados quando o plug-in bloqueia mais de 20 falhas de login tentativas desse IP. Nos últimos dias, isso aumentou para cerca de 50 desses e-mails por dia, onde parece que o mesmo malfeitor está realmente intensificando suas tentativas de obter acesso ao nosso site e alternando entre diferentes EC2s assim que nosso site bloqueia as tentativas de esse IP.

O endereço IP e o nome do host são sempre instâncias do EC2 e comecei a denunciá-los para [email protected]. No entanto, a equipe de segurança e confiança da AWS já ficou confusa e pensou que eu estava relatando nossa própria instância do EC2 e várias vezes enviou um e-mail ao nosso CTO informando que houve relatos de uso malicioso do nosso EC2, quando na verdade o EC2 e o endereço IP que eu m relatórios definitivamente não são nossos (por exemplo, um EC2 em Tóquio, Colombus etc.) Acho que a confusão é que eles perguntam o que o EC2 está tentando acessar e como também estamos hospedados na AWS, eles estão procurando e nos encontrando em vez do que o culpado. Está ficando muito doloroso explicar que estou relatando invasões em meu site em vez de relatar o site em si e preocupado que até mesmo tenhamos nosso próprio AWS congelado em uma tentativa de identidade equivocada ao tentar relatar essas tentativas de login.

Alguém já teve experiência em relatar essas situações, vale a pena o esforço?

![ ](httpswww.redditstatic.com/desktop2x/img/renderTimingPixel.png)

Parece que os endereços IP de origem não foram esclarecidos para eles.

Forneça a eles logs do servidor da web mostrando o IP de origem com os carimbos de data e hora e os URLs que estão sendo acessados ​​para o login.

Eles entrarão em contato com o proprietário das instâncias em quase todas as situações. Provavelmente, alguém está hospedando um site que foi comprometido e não sabe disso.