Discourse hat 18K+ E-Mails gesendet? Oder wurde mein Server gehackt?

Ich werde hier mal ehrlich sein: Ich habe keine Ahnung, wie ich diesen Thread formulieren soll oder was ich bereitstellen muss, um Hilfe zu erhalten. Alles, was ich weiß, ist, dass Discourse über 18.000 E-Mails versendet hat und über 7.000 E-Mails nicht zugestellt werden konnten (nachdem mein Amazon SES-Konto wegen einer so hohen Absprungrate von etwa 20 % gesperrt wurde). Es sieht auch so aus, als würde es weiterhin versuchen, über 500 E-Mails zu versenden.

EDIT: Mein Forum hat nur 8 Mitglieder.

Fazit: Port 53 war offen, obwohl ich niemals einen Nameserver installiert habe. Vermutlich wurde es gehackt (auch wenn Sidekiq alle Prozesse auflistete, bin ich mir sicher, dass es gehackt wurde).

Meine Vermutung ist, dass E-Mail oder Redis längere Zeit nicht funktioniert hat und heute repariert wurde, woraufhin eine Reihe von wartenden E-Mails versendet wurden.

Sie können unter Admin > E-Mail einsehen, was gesendet wurde.

Es wurden bisher nur 23 E-Mails gesendet, wenn ich dorthin gehe.

EDIT: Der Tag, an dem das passiert ist, war der 10. April (ich habe gerade festgestellt, dass es Discourse war, das die E-Mails gesendet hat), und es befindet sich keine einzige E-Mail vom 10. darauf.

Dann hat etwas anderes die E-Mails gesendet.

Das ist die beste Erklärung.

Was wäre, wenn? Ich lasse sonst nichts auf dem Server laufen außer Discourse. Könnte ich angegriffen worden sein oder so etwas?

Ich habe gerade auch noch Folgendes gefunden: Unter dem Reiter „Retries

Vielleicht hat jemand Ihr SMTP-Passwort erhalten und von einem anderen Ort gesendet? Vielleicht wurde Ihr Server gehackt (ist er durch ein Passwort geschützt und Sie haben kein Fail2Ban?). Etwas in dieser Richtung.

Es besteht praktisch keine Chance, dass Discourse damit etwas zu tun hat.

Sie sollten wahrscheinlich einen neuen Server einrichten und Discourse dorthin migrieren.

Das dachte ich auch, also habe ich den letzten Login überprüft – er war von mir im März.

Es mag überraschend klingen, aber Logdateien zu bearbeiten ist gar nicht so schwer. Oder man installiert ein Rootkit, das dies erledigt. Die Adressen, an die du sendest, existieren in Discourse doch gar nicht, oder? Also wurden die Nachrichten nicht gesendet.

Es ist fast sicher, dass du gehackt wurdest.

Loggst du dich mit einem Passwort ein? Hast du fail2ban installiert?

Suche bei Google, wie man prüft, welche Ports offen sind, und schaue nach, ob außer 22, 80 und 443 noch andere Ports offen sind.

Der einzige andere offene Port neben 22, 80 und 443 ist 53. Ich weiß nicht, was fail2ban ist, aber ich werde mich damit beschäftigen und versuchen, die Sicherheit zu erhöhen. Ich gehe davon aus, dass ich Port 53 schließen sollte?

Du kannst sehen, was es offen hält. Du hast keinen Nameserver installiert, also ist das wahrscheinlich der Übeltäter.

Du musst einen neuen Server hochfahren und dorthin wechseln. Du kannst nicht wissen, was sich auf dem Server befindet. Alles ist verdächtig.

Wie sieht es mit den Sicherungsdateien aus? Kann man sie dort importieren?

Ihre Discourse-Backups sollten sicher sein. Sie können sogar jetzt eine neue Sicherung erstellen, um sicherzustellen, dass Sie alle Ihre Daten haben.

Alles klar, super, danke für deine Hilfe!

Hast du deine app.yml irgendwo gepostet oder Screenshots zur Fehlerbehebung geteilt?

Nein, ich habe meine app.yml oder Screenshots nirgendwo veröffentlicht.

Der Screenshot in deinem ersten Beitrag sieht sehr nach Sidekiq aus – das Tool verarbeitet Jobs für allerhand Dinge, nicht nur für E-Mails. Stammt die Zahl von 18.000 E-Mails aus diesem Screenshot?

Es war so, aber es handelt sich um exakt die gleiche Anzahl von E-Mails, die Amazon SES als gesendet ausweist.

Wenn du gehackt wurdest, ist es SEHR unwahrscheinlich, dass die Hacker deine Zugangsdaten gestohlen und die E-Mails dann über Sidekiq gesendet haben.

Wenn du in /admin/email/sent deine gesendeten E-Mail-Protokolle durchsuchst, findest du dort Hinweise darauf, warum es eine so große Menge gibt?

Ich habe den Server bereits heruntergefahren. Wenn du jedoch von den E-Mails sprichst, die von Discourse gesendet wurden, dann: