În primul rând, vă mulțumesc că ați citit asta.
Astăzi primesc un e-mail de la aws care spune că unul dintre EC2-ul meu proaspăt este folosit pentru atacuri cu forță brută, împreună cu câteva detalii, astfel încât să pot rezolva problema.
Din păcate, cu detaliile disponibile, nu am reușit să localizez fișierul și nici originea atacului.
Scriu asta ca să pot obține instrucțiuni despre cum să rezolv asta. Sunt destul de nou la asta, dar mă simt confortabil și cu linia de comandă. Am făcut deja un instantaneu al mașinii.
Detalii server:
- Amazon EC2 T3.nano
- Ubuntu 20.04 LTS (GNU/Linux 5.4.0-1009-aws x86_64)
- Informații server web: nginx/1.20.2
- Versiunea PHP: 8.1.4
Mai jos este detaliul pe care l-am primit. (Folosesc Forge pentru a gestiona serverul)
orice directie ar fi mult apreciata. Dacă ai trecut prin această problemă în trecut, ar fi foarte util să-mi spui cum reușești să rezolvi asta.
Buna ziua,
Am primit un(e) raport(e) că resursele dvs. AWS
[adresa ip a serverului aici]
a fost implicat în activități care seamănă cu încercările de a accesa gazdele de la distanță pe internet fără autorizație.Activitatea de această natură este interzisă în Politica de utilizare acceptabilă AWS (https://aws.amazon.com/aup/). Am inclus mai jos raportul original pentru examinarea dvs.
Vă rugăm să luați măsuri pentru a opri activitatea raportată și să răspundeți direct la acest e-mail cu detalii despre măsurile corective pe care le-ați întreprins. Dacă nu considerați că activitatea descrisă în aceste rapoarte este abuzivă, vă rugăm să răspundeți la acest e-mail cu detalii despre cazul dvs. de utilizare.
Informații detaliate despre raportul de abuz sunt incluse mai jos.
==================================================== =======================
[adresa ip a serverului aici]
--------------------------------------------- -----------------------
Jurnalele:
--------------------------------------------- -----------------------
Linii care conțin erori ale ec2 ip
20 aprilie 05:54:48 xxxxxxxx wordpress(site-ul web care a fost atacat)[8611]: Eșec de autentificare pentru administrator de la ip ec2
Apr 20 06:22:01 xxxxxxxx wordpress(site-ul web care a fost atacat)[11469]: Eșec de autentificare pentru slavi de la ip ec2
20 aprilie 08:12:30 xxxxxxxx wordpress(site-ul web care a fost atacat)[29323]: Eșec de autentificare pentru janna de la ip ec2
20 aprilie 09:39:37 xxxxxxxx wordpress(site-ul web care a fost atacat)[9780]: Eșec de autentificare pentru administrator de la ip ec2
20 aprilie 13:27:30 xxxxxxxx wordpress(site-ul web care a fost atacat)[11935]: Eșec de autentificare pentru pgadmin de la ec2 ip
20 aprilie 18:14:49 xxxxxxxx wordpress(site-ul web care a fost atacat)[28987]: Eșec de autentificare pentru administrator de la ip ec2
Apr 20 20:40:10 xxxxxxxx wordpress(site-ul web care a fost atacat)[19685]: Eșec de autentificare pentru dbfmadmin de la ec2 ip
20 aprilie 23:10:03 xxxxxxxx wordpress(site-ul web care a fost atacat)[11592]: Eșec de autentificare pentru mbadmin de la ip ec2
21 aprilie 22:18:23 xxxxxxxx wordpress(site-ul web care a fost atacat)[10401]: Eșec de autentificare pentru administrator de la ip ec2
22 aprilie 05:27:28 xxxxxxxx wordpress(site-ul web care a fost atacat)[26557]: Eșec de autentificare pentru administrator de la ip ec2
22 aprilie 08:38:49 xxxxxxxx wordpress(site-ul web care a fost atacat)[23738]: Eșec de autentificare pentru pgadmin de la ec2 ip
Apr 23 09:05:08 xxxxxxxx wordpress(site-ul web care a fost atacat)[12526]: Eșec de autentificare pentru mbauthor de la ip ec2
Apr 23 10:02:30 xxxxxxxx wordpress(site-ul web care a fost atacat)[19471]: Eșec de autentificare pentru mbauthor de la ec2 ip
Apr 23 13:26:15 xxxxxxxx wordpress(site-ul web care a fost atacat)[18698]: Eșec de autentificare pentru janna de la ip ec2
24 aprilie 01:09:02 xxxxxxxx wordpress(site-ul web care a fost atacat)[5018]: încercare de autentificare pentru administratorul utilizatorului necunoscut de la
--------------------------------------------- -----------------------
Comentarii:
--------------------------------------------- -----------------------
Bună, Echipa Abuse,
Serverul/Clientul dumneavoastră cu IP: *ip* a atacat unul dintre serverele/partenerii noștri.
Atacatorii au folosit metoda/serviciul: *bruteforcelogin* pe: *Dum, 24 Apr 2022 01:09:02 +0100*.
Ora afișată este de la ora serverului utilizatorului Blocklist care a trimis raportul.
Atacul a fost raportat către Blocklist.de-System pe: *Dum., 24 Apr 2022 02:09:06 +0200*
!!! Nu răspunde la acest mail! Folosiți support@ sau formularul de contact pentru întrebări (fără mesaje de rezolvare, fără actualizări....) !!!
IP-ul a fost blocat automat pentru o perioadă de timp. Pentru ca un IP să fie blocat, este nevoie
să fi efectuat mai multe conectări eșuate (ssh, imap....), să fi încercat să se autentifice pentru un „utilizator nevalid” sau să fi
a declanșat mai multe coduri de eroare 5xx (de ex. Lista neagră pe e-mail...), toate într-o perioadă scurtă de timp.
Server-Owner configurează numărul de încercări eșuate și perioada de timp pe care o au
să apară în, pentru a declanșa o interdicție și a raporta. Lista de blocare nu are control asupra acestor setări.
Ce înseamnă "bruteforcelogin"?
IP-ul a apelat multe autentificări pe Wordpress, Webmin, Plesk sau alte CMS/panouri de control.
http://support.hostgator.com/articles/specialized-help/technical/wordpress/wordpress-login-brute-force-attack
Scriptul folosește în cele mai multe cazuri Firefox40, BingBot și GoogleBot ca UserAgent (grep pentru ca acesta în prima linie a fișierului:
„$qdtoewomza=substr($bstzohlitn,(59324-49211),(81-69)); $qdtoewomza($gidldupbhh, $xeipowxwpd, NULL);.*=.*; ?><?php"
și înlocuiți variabilele cu Wildcard * în spațiul web) și adesea numele era „mod_system.php”
Toate fișierele care au în interiorul „?><?php”, vă rugăm să căutați în prima linie a fișierului!
--------------------------------------------- -----------------------
Jurnalele:
--------------------------------------------- -----------------------
24-04-2022 00:31:09 GMT
Url: [xx###xx.com/wp-login.php]
Conexiune de la distanță: [ip:52578]
Anteturi: [matrice (
'Host' => 'xx###xx.com',
'User-Agent' => 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, ca Gecko) Chrome/59.0.3071.115 Safari/537.36',
'Content-Length' => '101',
„Content-Type” => „application/x-www-form-urlencoded”,
'Cookie' => 'wordpress_test_cookie=WP+Cookie+verificare',
„Accept-Encoding” => „gzip”,
'Connection' => 'închidere',
„BN-Frontend” => „captcha-https”,
'X-Forwarded-Port' => '443',
„X-Forwarded-Proto” => „https”,
'BN-Client-Port' => '47528',
„X-Forwarded-For” => „ip”,
)]
Date post: [Matrice
(
[log] => 0l5sktko
[pwd] => *****
[wp-submit] => Conectați-vă
[redirect_to] => https://xxxxxx.com/wp-admin/
[testcookie] => 1
)
]