Прежде всего, спасибо, что прочитали это.
Сегодня я получил электронное письмо от aws, в котором говорится, что один из моих новых EC2 используется для атак методом грубой силы, а также некоторые подробности, чтобы я мог решить эту проблему.
К сожалению, с имеющимися данными мне не удалось ни найти файл, ни источник атаки.
Я пишу это, чтобы получить указания, как с этим бороться. Я довольно новичок в этом, но мне также удобно работать с командной строкой. Я уже сделал снимок машины.
Сведения о сервере:
- Amazon EC2 T3.nano
- Ubuntu 20.04 LTS (GNU/Linux 5.4.0-1009-aws x86_64)
- Информация о веб-сервере: nginx/1.20.2
- Версия PHP: 8.1.4
Ниже приведены детали, которые я получил. (Я использую Forge для управления сервером)
любое направление будет высоко оценено. Если вы сталкивались с этой проблемой в прошлом, было бы очень полезно, если бы вы рассказали мне, как вам удалось с этим разобраться.
Привет,
Мы получили отчеты о том, что ваши ресурсы AWS
[IP-адрес сервера здесь]
был замешан в действиях, напоминающих попытки доступа к удаленным узлам в Интернете без авторизации.Деятельность такого рода запрещена Политикой допустимого использования AWS (https://aws.amazon.com/aup/). Мы включили исходный отчет ниже для вашего обзора.
Примите меры, чтобы прекратить указанные действия, и ответьте непосредственно на это письмо с подробными сведениями о предпринятых вами корректирующих действиях. Если вы не считаете действия, описанные в этих отчетах, оскорбительными, ответьте на это письмо, указав подробности своего варианта использования.
Подробная информация об отчетах о злоупотреблениях приведена ниже.
================================================= ======================
[IP-адрес сервера здесь]
--------------------------------------------- ----------------------
Журналы:
--------------------------------------------- ----------------------
Строки, содержащие сбои ec2 ip
20 апреля, 05:54:48 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [8611]: ошибка аутентификации администратора с ec2 ip
20 апреля, 06:22:01 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [11469]: Ошибка аутентификации для slavi с ec2 ip
20 апреля, 08:12:30 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [29323]: Ошибка аутентификации для janna с ec2 ip
20 апреля, 09:39:37 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [9780]: ошибка аутентификации администратора с ec2 ip
20 апреля 13:27:30 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [11935]: Ошибка аутентификации для pgadmin с ec2 ip
20 апреля 18:14:49 ххххххх wordpress (веб-сайт, подвергшийся атаке) [28987]: ошибка аутентификации администратора с ec2 ip
20 апреля, 20:40:10 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [19685]: ошибка аутентификации для dbfmadmin с IP-адреса ec2.
20 апреля, 23:10:03 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [11592]: ошибка аутентификации для mbadmin с ec2 ip
21 апреля, 22:18:23 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [10401]: ошибка аутентификации администратора с ec2 ip
22 апреля, 05:27:28 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [26557]: ошибка аутентификации администратора с ec2 ip
22 апреля, 08:38:49 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [23738]: ошибка аутентификации для pgadmin с ec2 ip
23 апреля, 09:05:08 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [12526]: ошибка аутентификации для mbauthor с ec2 ip
23 апреля, 10:02:30 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [19471]: ошибка аутентификации для mbauthor с ec2 ip
23 апреля, 13:26:15 ххххххх wordpress (веб-сайт, подвергшийся атаке) [18698]: Ошибка аутентификации для janna с ec2 ip
24 апреля, 01:09:02 xxxxxxxx wordpress (веб-сайт, подвергшийся атаке) [5018]: попытка аутентификации для неизвестного пользователя-администратора из
--------------------------------------------- ----------------------
Комментарии:
--------------------------------------------- ----------------------
Здравствуйте, команда злоупотреблений,
ваш Сервер/Клиент с IP: *ip* атаковал один из наших серверов/партнеров.
Злоумышленники использовали метод/сервис: *bruteforcelogin* в: *Вс, 24 апреля 2022 г., 01:09:02 +0100*.
Указанное время относится к серверному времени пользователя из черного списка, отправившего отчет.
Сообщение об атаке поступило в систему Blocklist.de: *Вс, 24 апреля 2022 г., 02:09:06 +0200*
!!! Не отвечайте на это письмо! Используйте support@ или контактную форму для вопросов (без сообщений о решении, без обновлений....) !!!
IP-адрес был автоматически заблокирован на определенный период времени. Для блокировки IP необходимо
совершить несколько неудачных попыток входа в систему (ssh, imap....), попытаться войти в систему для «недействительного пользователя» или иметь
сработало несколько кодов ошибок 5xx (например, черный список по электронной почте...), все за короткий период времени.
Владелец сервера настраивает количество неудачных попыток и период времени, который у них есть.
произойти в, чтобы вызвать бан и отчет. Черный список не имеет контроля над этими настройками.
Что значит "bruteforcelogin"?
IP вызывал много логинов в Wordpress, Webmin, Plesk или других CMS/панелях управления.
http://support.hostgator.com/articles/specialized-help/technical/wordpress/wordpress-login-brute-force-attack
Сценарий в большинстве случаев использует Firefox40, BingBot и GoogleBot в качестве UserAgent (grep для этого в первой строке файла:
"$qdtoewomza=substr($bstzohlitn,(59324-49211),(81-69)); $qdtoewomza($gidldupbhh, $xeipowxwpd, NULL);.*=.*; ?><?php"
и замените переменные на подстановочные знаки * в веб-пространстве), и часто имя было «mod_system.php».
Все файлы, содержащие внутри "?><?php", смотрите в первой строке файла!
--------------------------------------------- ----------------------
Журналы:
--------------------------------------------- ----------------------
2022-04-24 00:31:09 по Гринвичу
URL-адрес: [xx###xx.com/wp-login.php]
Удаленное подключение: [ip:52578]
Заголовки: [массив (
'Хост' => 'xx###xx.com',
'User-Agent' => 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, например Gecko) Chrome/59.0.3071.115 Safari/537.36',
'Длина содержания' => '101',
'Content-Type' => 'application/x-www-form-urlencoded',
'Cookie' => 'wordpress_test_cookie=WP+Cookie+проверить',
'Accept-Encoding' => 'gzip',
'Соединение' => 'закрыть',
'BN-Frontend' => 'captcha-https',
'X-Forwarded-Port' => '443',
'X-Forwarded-Proto' => 'https',
'BN-Клиент-Порт' => '47528',
'X-Forwarded-For' => 'ip',
)]
Данные поста: [Массив
(
[лог] => 0l5sktko
[pwd] => *****
[wp-submit] => Войти
[redirect_to] => https://xxxxxx.com/wp-admin/
[тестовый файл cookie] => 1
)
]