การโจมตี Brute Force ขาออกจาก Amazon EC2 ของฉัน

ก่อนอื่น ขอขอบคุณที่อ่านข้อความนี้

วันนี้ฉันได้รับอีเมลจาก aws แจ้งว่าหนึ่งใน EC2 ใหม่ของฉันกำลังถูกใช้สำหรับการโจมตีด้วยกำลังดุร้ายพร้อมกับรายละเอียดบางอย่างเพื่อที่ฉันจะได้สามารถแก้ไขปัญหาได้

ขออภัย ด้วยรายละเอียดที่มีอยู่ ฉันไม่สามารถค้นหาไฟล์ทั้งต้นทางของการโจมตีได้

ฉันกำลังเขียนสิ่งนี้เพื่อที่ฉันจะได้รับคำแนะนำเกี่ยวกับวิธีจัดการกับสิ่งนี้ ฉันค่อนข้างใหม่ในเรื่องนี้ แต่ฉันก็พอใจกับบรรทัดคำสั่งเช่นกัน ฉันได้ทำภาพรวมของเครื่องแล้ว

รายละเอียดเซิร์ฟเวอร์:

• Amazon EC2 T3.nano
• อูบุนตู 20.04 LTS (GNU/Linux 5.4.0-1009-aws x86_64)
• ข้อมูลเว็บเซิร์ฟเวอร์: nginx/1.20.2
• เวอร์ชัน PHP: 8.1.4

ด้านล่างนี้คือรายละเอียดที่ฉันได้รับ (ฉันใช้ forge เพื่อจัดการเซิร์ฟเวอร์) ทิศทางใด ๆ ที่จะได้รับการชื่นชมมาก หากคุณเคยประสบปัญหานี้มาก่อน จะเป็นประโยชน์มากหากคุณบอกฉันว่าคุณจัดการกับปัญหานี้อย่างไร

สวัสดี,

เราได้รับรายงานว่าทรัพยากร AWS ของคุณ

[ที่อยู่ IP ของเซิร์ฟเวอร์ที่นี่]

มีส่วนเกี่ยวข้องกับกิจกรรมที่คล้ายกับการพยายามเข้าถึงโฮสต์ระยะไกลบนอินเทอร์เน็ตโดยไม่ได้รับอนุญาตกิจกรรมในลักษณะนี้เป็นสิ่งต้องห้ามในนโยบายการใช้งานที่ยอมรับได้ของ AWS (https://aws.amazon.com/aup/) เราได้รวมรายงานต้นฉบับไว้ด้านล่างเพื่อให้คุณตรวจทาน

โปรดดำเนินการเพื่อหยุดกิจกรรมที่ได้รับรายงานและตอบกลับอีเมลนี้โดยตรงพร้อมรายละเอียดการดำเนินการแก้ไขที่คุณได้ทำไปแล้ว หากคุณไม่คิดว่ากิจกรรมที่อธิบายในรายงานเหล่านี้เป็นการละเมิด โปรดตอบกลับอีเมลนี้พร้อมรายละเอียดเกี่ยวกับกรณีการใช้งานของคุณ

ข้อมูลรายงานการละเมิดโดยละเอียดอยู่ด้านล่าง

================================================== ======================
[ที่อยู่ IP ของเซิร์ฟเวอร์ที่นี่]

--------------------------------------------- ----------------------
บันทึก:
--------------------------------------------- ----------------------
บรรทัดที่มีความล้มเหลวของ ec2 ip
20 เมษายน 05:54:48 xxxxxxxx wordpress (เว็บไซต์ที่ถูกโจมตี) [8611]: การตรวจสอบสิทธิ์ล้มเหลวสำหรับผู้ดูแลระบบจาก ec2 ip
20 เม.ย. 06:22:01 xxxxxxxx wordpress (เว็บไซต์ที่ถูกโจมตี) [11469]: การตรวจสอบสิทธิ์ล้มเหลวสำหรับ slavi จาก ec2 ip
20 เม.ย. 08:12:30 xxxxxxxx wordpress (เว็บไซต์ที่ถูกโจมตี) [29323]: การตรวจสอบสิทธิ์ล้มเหลวสำหรับ Janna จาก ec2 ip
20 เม.ย. 09:39:37 xxxxxxxx wordpress (เว็บไซต์ที่ถูกโจมตี) [9780]: การตรวจสอบสิทธิ์ล้มเหลวสำหรับผู้ดูแลระบบจาก ec2 ip
20 เมษายน 13:27:30 xxxxxxxx wordpress (เว็บไซต์ที่ถูกโจมตี) [11935]: ความล้มเหลวในการตรวจสอบสิทธิ์สำหรับ pgadmin จาก ec2 ip
20 เมษายน 18:14:49 xxxxxxxx wordpress (เว็บไซต์ที่ถูกโจมตี) [28987]: การตรวจสอบสิทธิ์ล้มเหลวสำหรับผู้ดูแลระบบจาก ec2 ip
20 เม.ย. 20:40:10 xxxxxxxx wordpress (เว็บไซต์ที่โดนโจมตี) [19685]: การตรวจสอบสิทธิ์ล้มเหลวสำหรับ dbfmadmin จาก ec2 ip
20 เม.ย. 23:10:03 xxxxxxxx wordpress (เว็บไซต์ที่ถูกโจมตี) [11592]: ความล้มเหลวในการตรวจสอบสิทธิ์สำหรับ mbadmin จาก ec2 ip
21 เมษายน 22:18:23 xxxxxxxx wordpress (เว็บไซต์ที่ถูกโจมตี) [10401]: การตรวจสอบสิทธิ์ล้มเหลวสำหรับผู้ดูแลระบบจาก ec2 ip
22 เมษายน 05:27:28 xxxxxxxx wordpress (เว็บไซต์ที่ถูกโจมตี) [26557]: การตรวจสอบสิทธิ์ล้มเหลวสำหรับผู้ดูแลระบบจาก ec2 ip
22 เม.ย. 08:38:49 xxxxxxxx wordpress (เว็บไซต์ที่โดนโจมตี) [23738]: การตรวจสอบสิทธิ์ล้มเหลวสำหรับ pgadmin จาก ec2 ip
23 เม.ย. 09:05:08 xxxxxxxx wordpress (เว็บไซต์ที่ถูกโจมตี) [12526]: การตรวจสอบสิทธิ์ล้มเหลวสำหรับ mbauthor จาก ec2 ip
23 เม.ย. 10:02:30 xxxxxxxx wordpress (เว็บไซต์ที่โดนโจมตี) [19471]: การตรวจสอบสิทธิ์ล้มเหลวสำหรับ mbauthor จาก ec2 ip
23 เม.ย. 13:26:15 xxxxxxxx wordpress (เว็บไซต์ที่โดนโจมตี) [18698]: การตรวจสอบสิทธิ์ล้มเหลวสำหรับ Janna จาก ec2 ip
24 เม.ย. 01:09:02 xxxxxxxx wordpress (เว็บไซต์ที่ถูกโจมตี) [5018]: ความพยายามในการตรวจสอบสิทธิ์สำหรับผู้ดูแลระบบผู้ใช้ที่ไม่รู้จักจาก 

--------------------------------------------- ----------------------
ความคิดเห็น:
--------------------------------------------- ----------------------
สวัสดี Abuse-Team

เซิร์ฟเวอร์/ลูกค้าของคุณด้วย IP: *ip* ได้โจมตีหนึ่งในเซิร์ฟเวอร์/คู่ค้าของเรา
ผู้โจมตีใช้วิธี/บริการ: *bruteforcelogin* เมื่อ: *อาทิตย์ 24 เมษายน 2022 01:09:02 +0100*
เวลาที่แสดงมาจากเวลาเซิร์ฟเวอร์ของผู้ใช้ Blocklist ที่ส่งรายงาน
มีการรายงานการโจมตีไปยัง Blocklist.de-System เมื่อ: *อาทิตย์ 24 เมษายน 2022 02:09:06 +0200*


!!! อย่าตอบ Mail นี้! ใช้ support@ หรือแบบฟอร์มการติดต่อสำหรับคำถาม (ไม่มีข้อความแก้ปัญหา ไม่มีการอัพเดท....) !!!


IP ถูกบล็อกโดยอัตโนมัติเป็นระยะเวลาหนึ่ง สำหรับ IP ที่จะถูกบล็อกนั้นจำเป็นต้องมี
มีการเข้าสู่ระบบที่ล้มเหลวหลายครั้ง (ssh, imap....) พยายามเข้าสู่ระบบสำหรับ "ผู้ใช้ที่ไม่ถูกต้อง" หรือมี
เรียกใช้รหัสข้อผิดพลาด 5xx หลายรายการ (เช่น บัญชีดำในอีเมล...) ทั้งหมดนี้เกิดขึ้นในช่วงเวลาสั้นๆ
เจ้าของเซิร์ฟเวอร์กำหนดค่าจำนวนความพยายามที่ล้มเหลว และระยะเวลาที่พวกเขามี
ที่จะเกิดขึ้น เพื่อกระตุ้นการแบนและรายงาน รายการที่บล็อกไม่สามารถควบคุมการตั้งค่าเหล่านี้ได้

"bruteforcelogin" หมายถึงอะไร?
IP ได้เรียกการเข้าสู่ระบบจำนวนมากบน Wordpress, Webmin, Plesk หรือ CMS/แผงควบคุมอื่นๆ
http://support.hostgator.com/articles/specialized-help/technical/wordpress/wordpress-login-brute-force-attack
สคริปต์ใช้ในกรณีส่วนใหญ่ Firefox40, BingBot และ GoogleBot เป็น UserAgent (grep สำหรับสิ่งนี้ในบรรทัดแรกของไฟล์:
"$qdtoewomza=substr($bstzohlitn,(59324-49211),(81-69)); $qdtoewomza($gidldupbhh, $xeipowxwpd, NULL);.*=.*; ?><?php"
และแทนที่ตัวแปรเป็น Wildcard * ใน Webspace) และบ่อยครั้งที่ชื่อคือ "mod_system.php"


ไฟล์ทั้งหมดที่อยู่ใน "?><?php" โปรดดูที่บรรทัดแรกของไฟล์!

--------------------------------------------- ----------------------
บันทึก:
--------------------------------------------- ----------------------
2022-04-24 00:31:09 GMT

URL: [xx###xxx.com/wp-login.php]
การเชื่อมต่อระยะไกล: [ip:52578]
ส่วนหัว: [อาร์เรย์ (
'โฮสต์' => 'xxxxxxxx.com',
'User-Agent' => 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML เช่น Gecko) Chrome/59.0.3071.115 Safari/537.36',
'ความยาวเนื้อหา' => '101',
'ประเภทเนื้อหา' => 'แอปพลิเคชัน/x-www-form-urlencoded',
'คุกกี้' => 'wordpress_test_cookie=WP+คุกกี้+เช็ค',
'ยอมรับการเข้ารหัส' => 'gzip',
'เชื่อมต่อ' => 'ปิด',
'BN-ส่วนหน้า' => 'captcha-https',
'X-Forwarded-Port' => '443',
'X-Forwarded-Proto' => 'https',
'BN-Client-Port' => '47528',
'X-Forwarded-For' => 'ip',
)]
โพสต์ข้อมูล: [Array
(
[บันทึก] => 0l5sktko
[pwd] => *****
[wp-submit] => เข้าสู่ระบบ
[redirect_to] => https://xxxxxx.com/wp-admin/
[คุกกี้ทดสอบ] => 1
)
]