هل أرسلت منصة Discourse أكثر من 18 ألف بريد إلكتروني؟ أو هل تم اختراق خادمي؟

سأكون صريحًا هنا، ليس لدي أدنى فكرة عن كيفية صياغة هذا الموضوع، أو ما الذي أحتاج إلى تقديمه للحصول على مساعدة. كل ما أعرفه هو أن Discourse أرسل أكثر من 18 ألف رسالة بريد إلكتروني وفشل في إرسال أكثر من 7 آلاف رسالة (بعد أن تم تجميد حساب Amazon SES الخاص بي بسبب معدل ارتداد مرتفع جدًا يبلغ حوالي 20%). كما يبدو أنه لا يزال يحاول إرسال أكثر من 500 رسالة بريد إلكتروني.

تعديل: يحتوي منتداي فقط على 8 أعضاء.

الخلاصة: كان المنفذ 53 مفتوحًا، على الرغم من أنني لم أقم أبدًا بتثبيت خادم أسماء. يبدو أنه تم اختراقه (حتى لو كان Sidekiq يعرض جميع العمليات، فأنا أعرف أنه لا يزال مخترقًا)

أعتقد أن البريد الإلكتروني أو Redis كان معطلاً لفترة طويلة، وتم إصلاحه اليوم وأرسل مجموعة من الرسائل المكدسة في الطابور.

يمكنك الاطلاع على admin > email لمعرفة ما تم إرساله.

هناك 23 رسالة بريد إلكتروني فقط تم إرسالها على الإطلاق عندما أذهب إلى هناك.

تعديل: اليوم الذي حدث فيه هذا كان 10 أبريل (لقد اكتشفت للتو أن discourse هو من أرسل رسائل البريد الإلكتروني)، ولا توجد رسالة بريد إلكتروني واحدة على الإطلاق من تاريخ 10 أبريل.

إذن، قام شخص آخر بإرسال الرسائل الإلكترونية.

هذا هو التفسير الأفضل.

ماذا يمكن أن يكون؟ لا أدير أي شيء آخر على الخادم سوى discourse، هل يمكن أن يكون قد تم الهجوم عليّ أو شيء من هذا القبيل؟

كما وجدت هذا للتو، ضمن علامة التبويب ‘إعادة المحاولة’ في لوحة تحكم Sidekiq، تكون الحجج جميعها شبيهة بهذا:
{"type"=>"digest", "user_id"=>11, "current_site_id"=>"default"}

ربما حصل شخص ما على كلمة مرور SMTP الخاصة بك وأرسل من مكان آخر؟ ربما تم اختراق خادمك (هل هو محمي بكلمة مرور ولا تستخدم fail2ban؟). شيء من هذا القبيل.

لا توجد فرصة تقريبًا أن يكون لـ Discourse أي علاقة بالأمر.

يجب عليك على الأرجح إعداد خادم جديد ونقل Discourse إليه.

هذا ما ظننته، لذا ذهبت وتحققت من آخر تسجيل دخول إليه، وكان من قبلي في مارس.

قد يكون الأمر مفاجئًا، لكن تعديل سجلات الدخول ليس بالأمر الصعب. أو حتى تثبيت حزمة جذرية تقوم بذلك. العناوين التي ترسل إليها غير موجودة في منصة Discourse، أليس كذلك؟ إذن لم يتم إرسال الرسائل.

من المؤكد تقريبًا أنك تعرضت للاختراق.

هل تسجل الدخول باستخدام كلمة مرور؟ هل لديك أداة fail2ban؟

ابحث في Google عن كيفية معرفة المنافذ المفتوحة، وتأكد من عدم وجود أي منافذ مفتوحة غير 22 و80 و443.

المنفذ الوحيد الآخر المفتوح بخلاف 22 و80 و443 هو 53. ولا أعرف ما هو fail2ban، لكنني سأبحث فيه وأحاول زيادة الأمان. أفترض أنه يجب أن أغلق المنفذ 53؟

يمكنك رؤية ما تسبب في فتحه. لم تقم بتثبيت خادم أسماء، لذا فهو على الأرجح الجاني.

تحتاج إلى تشغيل خادم جديد والانتقال إليه. لا يمكنك معرفة ما يوجد على الخادم. كل شيء مشبوه.

ماذا عن ملفات النسخ الاحتياطي، هل من الآمن استيرادها هناك؟

يجب أن تكون ملفات النسخ الاحتياطي لـ Discourse آمنة. يمكنك حتى إنشاء نسخة احتياطية جديدة الآن للتأكد من امتلاكك لجميع بياناتك.

حسناً، رائع! شكراً لك على مساعدتك!

هل قمت بنشر ملف app.yml في أي مكان أو مشاركة أي لقطات شاشة لأغراض استكشاف الأخطاء وإصلاحها؟

لا، لم أنشر ملف app.yml أو لقطات الشاشة في أي مكان.

يبدو لقطة الشاشة في منشورك الأول شبيهة جدًا بـ Sidekiq — وهي أداة تعالج مهامًا لأغراض متنوعة غير البريد الإلكتروني. هل هي هذه لقطة الشاشة التي استمددت منها عدد رسائل البريد الإلكتروني البالغ 18 ألفًا؟

كان كذلك، لكنّه نفس عدد رسائل البريد الإلكتروني تمامًا الذي أفاد Amazon SES بأنه تم إرساله.

إذا تم اختراق حسابك، فمن غير المرجح جداً أن يكون المتسللون قد سرقوا بيانات اعتمادك ثم أرسلوا رسائل البريد الإلكتروني عبر Sidekiq.

إذا انتقلت إلى سجلات البريد الإلكتروني المرسلة في /admin/email/sent، هل تلاحظ أي مؤشرات توضح سبب هذا العدد الهائل من الرسائل؟

لقد أغلقت الخادم بالفعل، ولكن إذا كنت تتحدث عن رسائل البريد الإلكتروني التي أرسلها discourse، فإن