Регистрация Войти
Рейтинг:0
ashish avatar Server

Исходящая атака грубой силы с моего Amazon EC2

флаг in
ashish

Прежде всего, спасибо, что прочитали это.

Сегодня я получил электронное письмо от aws, в котором говорится, что один из моих новых EC2 используется для атак методом грубой силы, а также некоторые подробности, чтобы я мог решить эту проблему.

К сожалению, с имеющимися данными мне не удалось ни найти файл, ни источник атаки.

Я пишу это, чтобы получить указания, как с этим бороться. Я довольно новичок в этом, но мне также удобно работать с командной строкой. Я уже сделал снимок машины.

Сведения о сервере:

  • Amazon EC2 T3.nano
  • Ubuntu 20.04 LTS (GNU/Linux 5.4.0-1009-aws x86_64)
  • Информация о веб-сервере: nginx/1.20.2
  • Версия PHP: 8.1.4

Ниже приведены детали, которые я получил. (Я использую Forge для управления сервером) любое направление будет высоко оценено. Если вы сталкивались с этой проблемой в прошлом, было бы очень полезно, если бы вы рассказали мне, как вам удалось с этим разобраться.

Привет,

Мы получили отчеты о том, что ваши ресурсы AWS

[IP-адрес сервера здесь]

был замешан в действиях, напоминающих попытки доступа к удаленным узлам в Интернете без авторизации.Деятельность такого рода запрещена Политикой допустимого использования AWS (https://aws.amazon.com/aup/). Мы включили исходный отчет ниже для вашего обзора.

Примите меры, чтобы прекратить указанные действия, и ответьте непосредственно на это письмо с подробными сведениями о предпринятых вами корректирующих действиях. Если вы не считаете действия, описанные в этих отчетах, оскорбительными, ответьте на это письмо, указав подробности своего варианта использования.

Подробная информация об отчетах о злоупотреблениях приведена ниже.

================================================= ======================
[IP-адрес сервера здесь]

--------------------------------------------- ----------------------
Журналы:
--------------------------------------------- ----------------------
Строки, содержащие сбои ec2 ip
20 апреля, 05:54:48 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [8611]: ошибка аутентификации администратора с ec2 ip
20 апреля, 06:22:01 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [11469]: Ошибка аутентификации для slavi с ec2 ip
20 апреля, 08:12:30 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [29323]: Ошибка аутентификации для janna с ec2 ip
20 апреля, 09:39:37 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [9780]: ошибка аутентификации администратора с ec2 ip
20 апреля 13:27:30 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [11935]: Ошибка аутентификации для pgadmin с ec2 ip
20 апреля 18:14:49 ххххххх wordpress (веб-сайт, подвергшийся атаке) [28987]: ошибка аутентификации администратора с ec2 ip
20 апреля, 20:40:10 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [19685]: ошибка аутентификации для dbfmadmin с IP-адреса ec2.
20 апреля, 23:10:03 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [11592]: ошибка аутентификации для mbadmin с ec2 ip
21 апреля, 22:18:23 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [10401]: ошибка аутентификации администратора с ec2 ip
22 апреля, 05:27:28 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [26557]: ошибка аутентификации администратора с ec2 ip
22 апреля, 08:38:49 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [23738]: ошибка аутентификации для pgadmin с ec2 ip
23 апреля, 09:05:08 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [12526]: ошибка аутентификации для mbauthor с ec2 ip
23 апреля, 10:02:30 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [19471]: ошибка аутентификации для mbauthor с ec2 ip
23 апреля, 13:26:15 ххххххх wordpress (веб-сайт, подвергшийся атаке) [18698]: Ошибка аутентификации для janna с ec2 ip
24 апреля, 01:09:02 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [5018]: попытка аутентификации для неизвестного пользователя-администратора из 

--------------------------------------------- ----------------------
Комментарии:
--------------------------------------------- ----------------------
Здравствуйте, команда злоупотреблений,

ваш Сервер/Клиент с IP: *ip* атаковал один из наших серверов/партнеров.
Злоумышленники использовали метод/сервис: *bruteforcelogin* в: *Вс, 24 апреля 2022 г., 01:09:02 +0100*.
Указанное время относится к серверному времени пользователя из черного списка, отправившего отчет.
Сообщение об атаке поступило в систему Blocklist.de: *Вс, 24 апреля 2022 г., 02:09:06 +0200*


!!! Не отвечайте на это письмо! Используйте support@ или контактную форму для вопросов (без сообщений о решении, без обновлений....) !!!


IP-адрес был автоматически заблокирован на определенный период времени. Для блокировки IP необходимо
совершить несколько неудачных попыток входа в систему (ssh, imap....), попытаться войти в систему для «недействительного пользователя» или иметь
сработало несколько кодов ошибок 5xx (например, черный список по электронной почте...), все за короткий период времени.
Владелец сервера настраивает количество неудачных попыток и период времени, который у них есть.
произойти в, чтобы вызвать бан и отчет. Черный список не имеет контроля над этими настройками.

Что значит "bruteforcelogin"?
IP вызывал много логинов в Wordpress, Webmin, Plesk или других CMS/панелях управления.
http://support.hostgator.com/articles/specialized-help/technical/wordpress/wordpress-login-brute-force-attack
Сценарий в большинстве случаев использует Firefox40, BingBot и GoogleBot в качестве UserAgent (grep для этого в первой строке файла:
"$qdtoewomza=substr($bstzohlitn,(59324-49211),(81-69)); $qdtoewomza($gidldupbhh, $xeipowxwpd, NULL);.*=.*; ?><?php"
и замените переменные на подстановочные знаки * в веб-пространстве), и часто имя было «mod_system.php».


Все файлы, содержащие внутри "?><?php", смотрите в первой строке файла!

--------------------------------------------- ----------------------
Журналы:
--------------------------------------------- ----------------------
2022-04-24 00:31:09 по Гринвичу

URL-адрес: [xx###xx.com/wp-login.php]
Удаленное подключение: [ip:52578]
Заголовки: [массив (
'Хост' => 'xx###xx.com',
'User-Agent' => 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, например Gecko) Chrome/59.0.3071.115 Safari/537.36',
'Длина содержания' => '101',
'Content-Type' => 'application/x-www-form-urlencoded',
'Cookie' => 'wordpress_test_cookie=WP+Cookie+проверить',
'Accept-Encoding' => 'gzip',
'Соединение' => 'закрыть',
'BN-Frontend' => 'captcha-https',
'X-Forwarded-Port' => '443',
'X-Forwarded-Proto' => 'https',
'BN-Клиент-Порт' => '47528',
'X-Forwarded-For' => 'ip',
)]
Данные поста: [Массив
(
[лог] => 0l5sktko
[pwd] => *****
[wp-submit] => Войти
[redirect_to] => https://xxxxxx.com/wp-admin/
[тестовый файл cookie] => 1
)
]
20
0 + 0
vidarlo avatar
флаг ar
vidarlo
Вы даже не упоминаете конфигурацию или запущенные службы. Кому-то удалось разместить на нем нежелательное программное обеспечение, но без дополнительной информации это невозможно узнать. Вы знаете, с чем работаете, *только* вы можете это исправить.
1
Ответить
ashish avatar
флаг in
ashish
Да, в крайнем случае я могу восстановить сброс сервера и восстановить веб-сайты (у меня там только 3 веб-сайта) после того, как я их очистил локально. Но мне бы очень хотелось понять, как я могу справиться с чем-то подобным. Я видел один и тот же вопрос в нескольких местах без каких-либо ответов.
0
Ответить
ashish avatar
флаг in
ashish
Привет @vidarlo, я немедленно обновлю конфигурацию сервера.
0
Ответить
ashish avatar
флаг in
ashish
Добавлена ​​информация о сервере, вот что я смог получить @vidarlo
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.