= Sinusubukan ng nakakahamak na EC2 na mag-login sa aming WordPress site (na-host din sa AWS) Anumang punto ng pag-uulat? =

![ ](httpswww.redditstatic.com/desktop2x/img/renderTimingPixel.png)

Ginagamit namin ang WordFence plugin sa aming Wordpress site at ginamit upang makakuha ng humigit-kumulang 1 o 2 'User lock out mula sa pag-sign in'na mga email sa isang linggo tungkol sa mga pagtatangka na mag-login sa aming WordPress admin panel, ang mga ito ay na-trigger kapag ang plugin ay na-block ang higit sa 20 na pag-login ay nabigo mga pagtatangka mula sa IP na iyon. Sa nakalipas na ilang araw, ito ay umakyat sa humigit-kumulang 50 sa mga email na ito sa isang araw kung saan tila ang parehong masamang aktor ay talagang pinalalakas ang kanilang mga pagtatangka upang makakuha ng access sa aming site at lumipat sa pagitan ng iba't ibang EC2 sa sandaling harangan ng aming site ang mga pagtatangka mula sa yung IP.

Ang IP address at hostname ay palaging EC2 instance at sinimulan kong iulat ang mga ito sa [email protected]. Gayunpaman, nalito na ang AWS Trust and Safety team at naisip ko na nag-uulat ako ng sarili naming EC2 instance at maraming beses na nag-email sa aming CTO na nagsasabi sa kanya na may mga ulat ng malisyosong paggamit sa aming EC2, ngunit sa katunayan ang EC2 at IP address ay I'Ang pag-uulat ay tiyak na hindi sa amin (halimbawa, isang EC2 sa Tokyo, Colombus atbp.) Sa tingin ko ang kalituhan ay ang pagtatanong nila kung ano ang sinusubukang i-access ng EC2 at dahil naka-host din kami sa AWS, hinahanap at hinahanap nila kami sa halip. kaysa sa salarin. Masyadong masakit na ipaliwanag na nag-uulat ako ng mga panghihimasok sa aking site sa halip na iulat ang mismong site at nag-aalala pa nga akong na-freeze ang sarili naming AWS sa isang pagtatangka ng maling pagkakakilanlan na sinusubukang iulat ang mga pagtatangka sa pag-login na ito.

Mayroon bang nakaranas ng pag-uulat ng mga sitwasyong ito, sulit ba ang pagsisikap?

![ ](httpswww.redditstatic.com/desktop2x/img/renderTimingPixel.png)

Mukhang hindi nilinaw sa kanila ang pinagmulang mga IP address.

Bigyan sila ng mga log ng web server na nagpapakita ng pinagmulang IP kasama ang mga selyo ng petsa at oras at ang mga URL na tinatamaan para sa pag-login.

Makikipag-ugnayan sila sa may-ari ng mga pagkakataon sa halos lahat ng sitwasyon. Malamang na may nagho-host ng isang site na nakompromiso at hindi nila alam ito.