= Зловмисний EC2 намагається ввійти на наш сайт WordPress (також розміщений на AWS). Чи є повідомлення про те, що потрібно? =
Ми використовуємо плагін WordFence на нашому сайті Wordpress і отримували близько 1 або 2 електронних листів із повідомленням «Користувачу заборонено вхід» на тиждень щодо спроб входу в панель адміністратора WordPress. Вони спрацьовують, коли плагін блокує більше 20 невдалих входів спроби з цього IP. За останні кілька днів кількість таких електронних листів збільшилася до 50 на день, і здається, що один і той самий зловмисник дійсно активізує свої спроби отримати доступ до нашого сайту та переходить між різними EC2, щойно наш сайт блокує спроби з що IP.
IP-адреса та ім’я хоста завжди є екземплярами EC2, і я почав повідомляти про це на [email protected]. Однак команда AWS Trust and Safety вже заплуталася й подумала, що я повідомляю про наш власний екземпляр EC2, і кілька разів надсилала електронного листа нашому технічному директору, повідомляючи йому, що є повідомлення про зловмисне використання нашого EC2, хоча насправді EC2 та IP-адреса я m звіти точно не є нашими (наприклад, EC2 у Токіо, Колумбусі тощо). Я думаю, плутанина полягає в тому, що вони запитують, до чого EC2 намагається отримати доступ, і оскільки ми також розміщені в AWS, вони швидше шукають і знаходять нас ніж винуватця. Стає дуже боляче пояснювати, що я повідомляю про вторгнення на мій сайт, а не про сам сайт, і хвилююся, що навіть наш власний AWS заморозить через спробу помилкової ідентифікації, яка намагається повідомити про ці спроби входу.
Хтось мав досвід повідомляти про такі ситуації, чи варто це зусиль?
Схоже, їм не дали зрозуміти вихідні IP-адреси.
Надайте їм журнали веб-сервера, у яких показано вихідну IP-адресу з мітками дати й часу та URL-адресами, які надходять для входу.
З власником екземплярів зв'яжуться практично в будь-якій ситуації. Швидше за все, хтось розміщує сайт, який був скомпрометований, і вони не знають про це.
Reddit
