<div dir="ltr">Agree entirely.<div><br></div><div>It's gotten worse (sadly) rather than better - sibling domains (including one that the DNS is public, but only resolves to RFC1918 IPs) that didn't share the IPs in question are now being reported as hosting malicious or phishing content.</div></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Sat, 8 Feb 2025 at 13:09, Andras Toth <<a href="mailto:diosbejgli@gmail.com">diosbejgli@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div dir="ltr">This is why IP based reputation and filtering just doesn't work in today's world of public clouds with shared tenancy. This problem isn't unique to AWS nor CloudFront.<div dir="ltr"><br></div><div dir="ltr">Andras</div><div dir="ltr"><br><blockquote type="cite">On 8 Feb 2025, at 12:57, Robert Hudson <<a href="mailto:hudrob@gmail.com" target="_blank">hudrob@gmail.com</a>> wrote:<br><br></blockquote></div><blockquote type="cite"><div dir="ltr"><div dir="ltr">Thanks for the heads-up Jennifer.  This is the primary reason I raised the issue with the AusNOG community - to see if we're alone in seeing this, and to get information on this out there for discussion (and to hopefully help some others who were seeing similar things and a bit stuck).<div><br></div><div>The splash damage from this is horrendous - we've had legitimate domains (and sub-domains) that offer legitimate services to corporate customers now flagged as phishing because once the eye of sauron saw us, it took a good hard look at everything we do, and a bunch of legitmate sites are now being flagged as "potentially" phishing after a single report (when some of these sites have run for years now).</div><div><br></div><div>We'll have to change how we do a few things - but the pain the simple deployment of a few IPs with a bad reputation has caused will ripple through our business for months now.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, 8 Feb 2025 at 10:05, Jennifer Sims <<a href="mailto:jenn@jenn.id.au" target="_blank">jenn@jenn.id.au</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto">As a side note, I've had 7 emails from AWS SES hosted domains trying to phish for information. Looks like there has been a spate of insecure systems again on the web being used by bad actors. It wouldn't shock me given the bucket issues also reported on as well that some dodgy phishing sites are being hidden behind cloud front. <div><br></div><div>As I found a heap behind Akamai. </div><div><br id="m_4267899435371657713m_-2091047945069665261lineBreakAtBeginningOfSignature"><div dir="ltr">Sent from my iPhone</div><div dir="ltr"><br><blockquote type="cite">On 8 Feb 2025, at 08:48, Robert Hudson <<a href="mailto:hudrob@gmail.com" target="_blank">hudrob@gmail.com</a>> wrote:<br><br></blockquote></div><blockquote type="cite"><div dir="ltr"><div dir="auto">As a follow-up.<div dir="auto"><br></div><div dir="auto">Yes, we raised a ticket with AWS for this.</div><div dir="auto"><br></div><div dir="auto">The compounding issue was that the IPs were then associated with a number of domains/sub-domains, some of which are not only presented via CloudFront, and it took some time to get agreement on this point.</div><div dir="auto"><br></div><div dir="auto">The IPs were removed, and security services are slowly backing down (we started with 7 services as tracked by VirusTotal marking us as malicious, it crept up to 12, its now down to 11).</div><div dir="auto"><br></div><div dir="auto">Hopefully we're on the path to redemption. But it's a slow journey.</div><div dir="auto"><br></div><div dir="auto">I suspect the longer term solution to prevent this occurring again is to move to static IP assignments where we use CloudFront - not exactly cheap, but cheaper than what's happened here.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, 7 Feb 2025, 2:29 pm Robert Hudson, <<a href="mailto:hudrob@gmail.com" target="_blank">hudrob@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><span style="font-size:12.8px">Hi all,</span><div dir="auto" style="font-size:12.8px"><br></div><div dir="auto" style="font-size:12.8px">Is anyone else seeing AWS CloudFront "fronted" domains being marked as malicious or hosting phishing?</div><div dir="auto" style="font-size:12.8px"><br></div><div dir="auto" style="font-size:12.8px">We have one domain being marked as such right now after four new IP addresses which were previously hosting malware and phishing attempts were apparently added by AWS to a pool used by CloudFront.</div><div dir="auto" style="font-size:12.8px"><br></div><div dir="auto" style="font-size:12.8px">It's causing quite the drama for us, was just wondering if it's a bit more widespread...</div></div>
</blockquote></div>
<span>_______________________________________________</span><br><span>AusNOG mailing list</span><br><span><a href="mailto:AusNOG@lists.ausnog.net" target="_blank">AusNOG@lists.ausnog.net</a></span><br><span><a href="https://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">https://lists.ausnog.net/mailman/listinfo/ausnog</a></span><br></div></blockquote></div></div></blockquote></div>
<span>_______________________________________________</span><br><span>AusNOG mailing list</span><br><span><a href="mailto:AusNOG@lists.ausnog.net" target="_blank">AusNOG@lists.ausnog.net</a></span><br><span><a href="https://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">https://lists.ausnog.net/mailman/listinfo/ausnog</a></span><br></div></blockquote></div></div></blockquote></div>