AWS的EC2實例被爬蟲惡意攻擊，網路流量到了2000G，信用卡被刷了1000美刀（對我個學生算是天文數字了）?

12-28

請問下被惡意攻擊的情況下是否可以追回付款？怎麼向追回呢？在AWS創建case一直提示網頁有錯誤，嘗試了各種版本的瀏覽器也是如此！想知道AWS客服郵箱是什麼，直接發郵件諮詢？另外，郵件裡面應該著重表達什麼呢？

樓主節哀。Email的地址我不是很清楚，但是你可以通過去AWS Developer Forums裡面反映情況（我google了「aws ec2 forum」關鍵字，很容易找到），官方論壇裡面回復還是很快的（至少我們組還是很認真的看論壇里的反饋）。

個人認為你需要說清楚的點：

1. 明確流量發生異常的時間，給一個合理的問題描述。
2. 強調你作為一個customer，遇到這個問題時候的frustration, 尤其作為一名學生被charge 1000刀實在是比較傷。
3. 問下遇到這類的hack應該怎樣處理？為什麼沒有相應的alert警告我。

個人覺得追回錢的可能性是很大的，祝樓主好運。

感謝 @梁霄的回答，我今天也遇到了跟樓主類似的問題，疑似accessKey泄漏，黑客在我的帳號下瘋狂創建EC2實例造成將近700刀的billing，Forums上提交了個問題，沒多久就先有郵件確認回復了，過了一會又有一老外打電話跟我諮詢問題，居然還會說中文。。前後通了2次話，帳號問題基本解決了，最後讓我發個郵件到aws-verification@amazon.com說明下問題，團隊成員會酌情處理的。我已經發了，雖然我已經不是學生了，700刀還是有點肉疼吶，不知道樓主後續如何。

2015-01-05

層主情況補充：問題在去年3月底下圓滿解決了，今天osc上看的一則新聞，赤裸裸的說的就我：

黑客掃描 GitHub 竊取 AWS Key 租賃雲伺服器挖比特幣

不要將你的亞馬遜AWS API key公開在GitHub上，有黑客正利用機器人程序24掃描GitHub竊取AWS key，然後再利用你的AWS賬戶租賃更多伺服器，目的是給他們挖比特幣，雖然現在CPU和GPU早被專門的礦機淘汰。一位開發者將key上傳到 GitHub五分鐘後，key就被人竊取，攻擊者用他的賬號租賃了140個伺服器去挖比特幣。一個晚上就花了他2375美元，幸好亞馬遜的客服理解他的情況，這次沒收他的錢。亞馬遜早在去年上半年就對此類的key竊取發出了警告。

教訓1：不用要root key開發圖省事，給應用中每個AWS服務申請一個單獨的key。
教訓2：開源項目託管要慎重。github上免費用戶只能開源項目，難保代碼里有不該泄露的東西。

聯繫AWS，說明實際情況，據說可以拿回全款 - 我在AWS認證培訓課程上培訓老師說的；
在Billing裡面設置好alert吧！避免以後再次發生

教你一招：和客服扯皮。

幾年前3G還挺貴的時候，我一不留神看了次遊戲直播，還是高清的，結果1個多小時就用掉2G流量，按當時資費要300吧。

雖然是自己的問題但我還是不想付這麼多錢啊。然後就和客服各種扯皮啊，抱怨他們沒有提供及時的簡訊通知來告訴我用了很大的流量，那我作為普通用戶怎麼知道我看的直播要花這麼大流量啊，這種風險怎麼能讓用戶承擔啊等等。反正有沒有道理都扯出來再說。

最後客服給我按照一個很便宜的套餐價格來算，只付了50多吧。

AWS在這事上肯定是可以扯皮的。比如為什麼沒有及時的billing報警，為什麼不默認啟用billing報警，為什麼沒能力在platform層面自動抵擋爬蟲攻擊而把這事推給用戶的應用層面，比如你用機器學習是可以偵測到流量異常的這時候就應該給用戶報警啊，等等。

我也中過，當時AWS是給退了80%，你跟客服打電話，跟他說清楚，還是很好說話的。

另外就是，對公網開放的VPC，一定要設安全組，入站和出站都要設，還有賬單警報。

看樓上有公開aws相關憑據的……也是無奈了……
前次某同事把自己賬號密碼保存在ec2上，被黑客發現用於攻擊，導致業務中斷。安全部門直接把他賬號停用、解除勞動合同了……

同樣是AWS被盜刷，每個AZ大概都建了15個instance，三個小時以內給我跑到900多的美金。我發現以後全部關掉，結果居然還有個什麼load balancer，會把我關掉的東西重新建立…第二天賬單就達到了坑爹的1200刀～好在有同學告訴我在AWS的官網上有個contact，然後點進去有個類似技術支持可以讓系統給你打電話的地方。點擊call immediately就立馬有電話打過來，然後有人會詢問你更詳細的情況，給建立case，確認以後可以退還所有的credit。這點大家不用擔心了～

可以啊，當年我EC2忘了關實例，被扣五十美刀。我就抱著一試的心態寫郵件告訴他們我只是忘記關了，沒有真正用來運算。他們就把錢退給我了。總體感覺國外這些還是很實在的，而且樂意回答問題

慎用。上個月居然扣了80多美刀。這個月才過2天，就扣了9美刀

不敢用了。直接關掉賬戶

如實反應問題給客服，會得到滿意的答覆，一般會全款返回。我想我有資格回答這個問題吧

嚇得我畢設不敢用AWS了。。。

提交case,客服會聯繫你,扣除的錢會返還給你." as a gesture of good will "

我的ec2兩台機器埠開放了redis的外網訪問，周五凌晨被盜用後周末兩天產生了1100刀的流量費用，周一上班時候立馬就進行了安全補丁並設置了安全組，已經通過case和郵件與ec2-abuse溝通了兩周多了還沒有得到明確的回復免單。

請問大家我這個還有希望了嗎？

已經換過阿里雲，然而黑客繼續追蹤我，阿里雲多次提醒異常登錄，我決定查找問題，最後在定時任務中發現每十分鐘會請求個網路腳本，最後發現是有黑客利用主機挖礦！希望大家安全方面提高警惕
------------------------
2016/ 6、7月份，美國亞馬遜賬號，部署了小網站，出現了樓主所說的問題：
今天突然收到亞馬遜通知$113賬單，當時覺得是個惡作劇，然後一查信用卡，真的刷了、真的刷了、真的刷了。然後登陸亞馬遜管理平台，在賬單中出現了連續兩個月113$的賬單，一個已經付了，一個代付！wtf！先找客服，英文看不懂。然後網上各種找解決方案，沒有好辦法！
樓主選擇了最土的，先是郵件溝通，等的焦急，後來直接電話查詢賬單問題，本人六級未過，使用蹩腳英語和老外溝通，非常酸爽，雖然我沒聽懂他說什麼（我估計他也沒聽懂我說什麼），但是大概了解了我的意思，幫我把上月的消費款退回，之後我又希望他解決本月的賬單，他就給了我115$的抵用券，不明白為什麼多給了2$.然後我就用郵件感謝了一下他，英語用詞慘不忍睹，我估計他能笑出聲來，不過當時的心情真的很激動，真的感謝了好幾次。在此時想起來還是很感激他那時的幫助。
附帶說一句：由最後的感激可以知道當時知道亞馬遜要從我腰包拿走$的時候我是多麼鬱悶、氣憤！現在再也不敢用亞馬遜了（網站安全方面的小白），只好回歸阿里雲了！
---------------
建議：有問題找客服，分享我的經歷，是希望你了解當時我也很無奈，我們只能通過溝通解決我們的問題，我的問題已經解決，你的也應該可以，語言不是問題，因為正常的高中水平就可以讓老美大概了解問題，他會幫你分析並解決，do it now

贊同樓上的說法，Amazon對Customer Obsession做的還是很用心的，如果你能證明自己真的是這種情況，追回錢的可能性還是很大的。另外，你可以用一用CouldWatch。Good luck！

還是阿里雲好，亞馬遜上來就讓強制綁信用卡，真是個大坑

沒能力管理別用ec2,用beanstalk就好了

AWS有billing alerts可以設置。總的而言你還可以使用trusted advisor來遵循best practices。退一萬步如果是真實情況可以嘗試向客服反應

這種情況發生多數是因為你沒有很好的設定安全組（security group），一般來說AWS建議將允許登陸的IP設定為您的常用IP，例如，埠22可登陸IP為您自己的公網IP或公網網段，這樣來說很大程度上就可以減少黑客對您攻擊的可能性。AWS強烈不建議把22埠向0.0.0.0/0開放，這樣很容易受到攻擊。從而給您帶來不必要的麻煩

悲劇。發ticket說明下。看能挽回損失不能。你這麼一說。。我阿里雲的也是流量付費。不過有峰值寬頻和預警，應該還很多。話說2000g就1000刀？這流量好貴啊。

節哀，我剛剛信用卡被單刷1200刀，其中800多刀的維密。。。想起某個角落有個assh逍遙自在，突然覺得你這個還有點技術含量。

英語不好當然用阿里雲了啊……還比aws便宜……