= EC2 độc hại đang cố đăng nhập vào trang web WordPress của chúng tôi (cũng được lưu trữ trên AWS) Có báo cáo điểm nào không? =

![ ](httpswww.redditstatic.com/desktop2x/img/renderTimingPixel.png)

Chúng tôi sử dụng plugin WordFence trên trang Wordpress của mình và đã từng nhận được khoảng 1 hoặc 2 email 'Người dùng bị khóa đăng nhập'mỗi tuần liên quan đến các nỗ lực đăng nhập vào bảng quản trị WordPress của chúng tôi, chúng được kích hoạt khi plugin chặn hơn 20 lần đăng nhập không thành công nỗ lực từ IP đó. Trong vài ngày qua, con số này đã tăng vọt lên khoảng 50 email trong số này mỗi ngày khi có vẻ như cùng một kẻ xấu đang thực sự đẩy mạnh nỗ lực của họ để giành quyền truy cập vào trang web của chúng tôi và chuyển đổi giữa các EC2 khác nhau ngay khi trang web của chúng tôi chặn nỗ lực từ đó IP đó.

Địa chỉ IP và tên máy chủ luôn là phiên bản EC2 và tôi đã bắt đầu báo cáo những điều này tới [email protected]. Tuy nhiên, nhóm An toàn và Tin cậy của AWS đã nhầm lẫn và nghĩ rằng tôi đang báo cáo phiên bản EC2 của chính chúng tôi và đã nhiều lần gửi email cho CTO của chúng tôi để nói với ông ấy rằng đã có báo cáo về việc sử dụng EC2 của chúng tôi với mục đích xấu, trong khi thực tế là địa chỉ EC2 và IP mà tôi'm báo cáo chắc chắn không phải của chúng tôi (ví dụ: EC2 ở Tokyo, Colombus, v.v.) Tôi nghĩ điều khó hiểu là họ yêu cầu những gì EC2 đang cố truy cập và vì chúng tôi cũng được lưu trữ trên AWS nên họ đang tìm kiếm và tìm thấy chúng tôi chứ không phải hơn thủ phạm. Việc giải thích rằng tôi đang báo cáo các hành vi xâm nhập vào trang web của mình trở nên khá khó khăn thay vì báo cáo chính trang web đó và lo lắng rằng tôi thậm chí còn bị đóng băng AWS của chính chúng tôi trong một nỗ lực nhận dạng nhầm cố gắng báo cáo những lần thử đăng nhập này.

Có ai có kinh nghiệm báo cáo những tình huống này không, nó có đáng để nỗ lực không?

![ ](httpswww.redditstatic.com/desktop2x/img/renderTimingPixel.png)

Có vẻ như địa chỉ IP nguồn không được làm rõ cho họ.

Cung cấp cho họ nhật ký máy chủ web hiển thị IP nguồn cùng với dấu ngày và giờ cũng như các URL đang được truy cập để đăng nhập.

Họ sẽ liên hệ với chủ sở hữu của các phiên bản trong hầu hết mọi tình huống. Rất có thể ai đó đang lưu trữ một trang web đã bị xâm phạm và họ không biết về điều đó.