Puncte:0

Atacul de ieșire cu forță brută de la Amazon EC2 al meu

drapel in

În primul rând, vă mulțumesc că ați citit asta.

Astăzi primesc un e-mail de la aws care spune că unul dintre EC2-ul meu proaspăt este folosit pentru atacuri cu forță brută, împreună cu câteva detalii, astfel încât să pot rezolva problema.

Din păcate, cu detaliile disponibile, nu am reușit să localizez fișierul și nici originea atacului.

Scriu asta ca să pot obține instrucțiuni despre cum să rezolv asta. Sunt destul de nou la asta, dar mă simt confortabil și cu linia de comandă. Am făcut deja un instantaneu al mașinii.

Detalii server:

  • Amazon EC2 T3.nano
  • Ubuntu 20.04 LTS (GNU/Linux 5.4.0-1009-aws x86_64)
  • Informații server web: nginx/1.20.2
  • Versiunea PHP: 8.1.4

Mai jos este detaliul pe care l-am primit. (Folosesc Forge pentru a gestiona serverul) orice directie ar fi mult apreciata. Dacă ai trecut prin această problemă în trecut, ar fi foarte util să-mi spui cum reușești să rezolvi asta.

Buna ziua,

Am primit un(e) raport(e) că resursele dvs. AWS

[adresa ip a serverului aici]

a fost implicat în activități care seamănă cu încercările de a accesa gazdele de la distanță pe internet fără autorizație.Activitatea de această natură este interzisă în Politica de utilizare acceptabilă AWS (https://aws.amazon.com/aup/). Am inclus mai jos raportul original pentru examinarea dvs.

Vă rugăm să luați măsuri pentru a opri activitatea raportată și să răspundeți direct la acest e-mail cu detalii despre măsurile corective pe care le-ați întreprins. Dacă nu considerați că activitatea descrisă în aceste rapoarte este abuzivă, vă rugăm să răspundeți la acest e-mail cu detalii despre cazul dvs. de utilizare.

Informații detaliate despre raportul de abuz sunt incluse mai jos.

==================================================== =======================
[adresa ip a serverului aici]

--------------------------------------------- -----------------------
Jurnalele:
--------------------------------------------- -----------------------
Linii care conțin erori ale ec2 ip
20 aprilie 05:54:48 xxxxxxxx wordpress(site-ul web care a fost atacat)[8611]: Eșec de autentificare pentru administrator de la ip ec2
Apr 20 06:22:01 xxxxxxxx wordpress(site-ul web care a fost atacat)[11469]: Eșec de autentificare pentru slavi de la ip ec2
20 aprilie 08:12:30 xxxxxxxx wordpress(site-ul web care a fost atacat)[29323]: Eșec de autentificare pentru janna de la ip ec2
20 aprilie 09:39:37 xxxxxxxx wordpress(site-ul web care a fost atacat)[9780]: Eșec de autentificare pentru administrator de la ip ec2
20 aprilie 13:27:30 xxxxxxxx wordpress(site-ul web care a fost atacat)[11935]: Eșec de autentificare pentru pgadmin de la ec2 ip
20 aprilie 18:14:49 xxxxxxxx wordpress(site-ul web care a fost atacat)[28987]: Eșec de autentificare pentru administrator de la ip ec2
Apr 20 20:40:10 xxxxxxxx wordpress(site-ul web care a fost atacat)[19685]: Eșec de autentificare pentru dbfmadmin de la ec2 ip
20 aprilie 23:10:03 xxxxxxxx wordpress(site-ul web care a fost atacat)[11592]: Eșec de autentificare pentru mbadmin de la ip ec2
21 aprilie 22:18:23 xxxxxxxx wordpress(site-ul web care a fost atacat)[10401]: Eșec de autentificare pentru administrator de la ip ec2
22 aprilie 05:27:28 xxxxxxxx wordpress(site-ul web care a fost atacat)[26557]: Eșec de autentificare pentru administrator de la ip ec2
22 aprilie 08:38:49 xxxxxxxx wordpress(site-ul web care a fost atacat)[23738]: Eșec de autentificare pentru pgadmin de la ec2 ip
Apr 23 09:05:08 xxxxxxxx wordpress(site-ul web care a fost atacat)[12526]: Eșec de autentificare pentru mbauthor de la ip ec2
Apr 23 10:02:30 xxxxxxxx wordpress(site-ul web care a fost atacat)[19471]: Eșec de autentificare pentru mbauthor de la ec2 ip
Apr 23 13:26:15 xxxxxxxx wordpress(site-ul web care a fost atacat)[18698]: Eșec de autentificare pentru janna de la ip ec2
24 aprilie 01:09:02 xxxxxxxx wordpress(site-ul web care a fost atacat)[5018]: încercare de autentificare pentru administratorul utilizatorului necunoscut de la 

--------------------------------------------- -----------------------
Comentarii:
--------------------------------------------- -----------------------
Bună, Echipa Abuse,

Serverul/Clientul dumneavoastră cu IP: *ip* a atacat unul dintre serverele/partenerii noștri.
Atacatorii au folosit metoda/serviciul: *bruteforcelogin* pe: *Dum, 24 Apr 2022 01:09:02 +0100*.
Ora afișată este de la ora serverului utilizatorului Blocklist care a trimis raportul.
Atacul a fost raportat către Blocklist.de-System pe: *Dum., 24 Apr 2022 02:09:06 +0200*


!!! Nu răspunde la acest mail! Folosiți support@ sau formularul de contact pentru întrebări (fără mesaje de rezolvare, fără actualizări....) !!!


IP-ul a fost blocat automat pentru o perioadă de timp. Pentru ca un IP să fie blocat, este nevoie
să fi efectuat mai multe conectări eșuate (ssh, imap....), să fi încercat să se autentifice pentru un „utilizator nevalid” sau să fi
a declanșat mai multe coduri de eroare 5xx (de ex. Lista neagră pe e-mail...), toate într-o perioadă scurtă de timp.
Server-Owner configurează numărul de încercări eșuate și perioada de timp pe care o au
să apară în, pentru a declanșa o interdicție și a raporta. Lista de blocare nu are control asupra acestor setări.

Ce înseamnă "bruteforcelogin"?
IP-ul a apelat multe autentificări pe Wordpress, Webmin, Plesk sau alte CMS/panouri de control.
http://support.hostgator.com/articles/specialized-help/technical/wordpress/wordpress-login-brute-force-attack
Scriptul folosește în cele mai multe cazuri Firefox40, BingBot și GoogleBot ca UserAgent (grep pentru ca acesta în prima linie a fișierului:
„$qdtoewomza=substr($bstzohlitn,(59324-49211),(81-69)); $qdtoewomza($gidldupbhh, $xeipowxwpd, NULL);.*=.*; ?><?php"
și înlocuiți variabilele cu Wildcard * în spațiul web) și adesea numele era „mod_system.php”


Toate fișierele care au în interiorul „?><?php”, vă rugăm să căutați în prima linie a fișierului!

--------------------------------------------- -----------------------
Jurnalele:
--------------------------------------------- -----------------------
24-04-2022 00:31:09 GMT

Url: [xx###xx.com/wp-login.php]
Conexiune de la distanță: [ip:52578]
Anteturi: [matrice (
'Host' => 'xx###xx.com',
'User-Agent' => 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, ca Gecko) Chrome/59.0.3071.115 Safari/537.36',
'Content-Length' => '101',
„Content-Type” => „application/x-www-form-urlencoded”,
'Cookie' => 'wordpress_test_cookie=WP+Cookie+verificare',
„Accept-Encoding” => „gzip”,
'Connection' => 'închidere',
„BN-Frontend” => „captcha-https”,
'X-Forwarded-Port' => '443',
„X-Forwarded-Proto” => „https”,
'BN-Client-Port' => '47528',
„X-Forwarded-For” => „ip”,
)]
Date post: [Matrice
(
[log] => 0l5sktko
[pwd] => *****
[wp-submit] => Conectați-vă
[redirect_to] => https://xxxxxx.com/wp-admin/
[testcookie] => 1
)
]

 
vidarlo avatar
drapel ar
Nici măcar nu menționezi configurația sau serviciile care rulează. Cineva a reușit să plaseze niște software nedorit pe el, dar fără mai multe informații este imposibil de știut. Știi ce alergi, *doar* poți să-l repari.
ashish avatar
drapel in
Da, ultima mea soluție este să restabiliz ștergerea serverului și restabilirea site-urilor web (am doar 3 site-uri acolo) după ce le curăț local. Dar chiar mi-ar plăcea să înțeleg cum mă pot descurca cu așa ceva. Am văzut aceeași întrebare în câteva locuri fără niciun răspuns.
ashish avatar
drapel in
Bună @vidarlo, voi actualiza imediat configurația serverului.
ashish avatar
drapel in
Detaliile serverului au fost adăugate, asta este ceea ce aș putea obține @vidarlo

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.