Discourse ha inviato oltre 18.000 email? O il mio server è stato hackerato?

Sarò onesto: non ho idea di come formulare questo thread o di cosa debba fornire per ricevere aiuto. So solo che Discourse ha inviato oltre 18.000 email e non è riuscito a inviarne oltre 7.000 (dopo che il mio Amazon SES è stato bloccato per un tasso di rimbalzo così alto, circa il 20%). Sembra anche che stia ancora cercando di inviare oltre 500 email.

AGGIORNAMENTO: Il mio forum ha solo 8 membri.

Conclusione: La porta 53 era aperta, anche se non ho mai installato un server dei nomi. Immagino sia stato compromesso (anche se Sidekiq elencava tutti i processi, sono certo che sia stato hackerato).

Il mio parere è che la posta o Redis siano stati interrotti per lungo tempo e oggi siano stati ripristinati, inviando una serie di email in coda.

Puoi controllare in Amministrazione > Email per vedere cosa è stato inviato.

Ci sono stati solo 23 email inviate finora quando ci vado.

AGGIORNAMENTO: Il giorno in cui è successo era il 10 aprile (ho appena capito che erano state le email inviate da Discourse), e non c’è una sola email del 10.

Poi qualcun altro ha inviato le email.

Questa è la spiegazione migliore.

Cosa sarebbe potuto succedere? Non eseguo altro sul server oltre a Discourse. Potrei essere stato attaccato o qualcosa del genere?

Ho appena trovato anche questo: nella scheda ‘Retries’ della dashboard di Sidekiq, gli argomenti sono tutti simili a questo:
{"type"=>"digest", "user_id"=>11, "current_site_id"=>"default"}

Forse qualcuno ha ottenuto la tua password SMTP e ha inviato da un altro luogo? Forse hanno hackerato il tuo server (è protetto da una password e non hai fail2ban?). Qualcosa del genere.

È praticamente impossibile che Discourse abbia a che fare con la cosa.

Dovresti probabilmente configurare un nuovo server e migrare Discourse lì.

È quello che ho pensato, quindi ho controllato l’ultimo accesso e risultava effettuato da me a marzo.

Potrebbe sembrare sorprendente, ma modificare i log non è difficile. O installare un rootkit che lo faccia. Gli indirizzi a cui stai inviando non esistono su Discourse, giusto? Quindi i messaggi non sono stati inviati.

È quasi certo che tu sia stato hackerato.

Effettui l’accesso con una password? Hai installato fail2ban?

Cerca su Google come verificare quali porte sono aperte e controlla se oltre alla 22, 80 e 443 ce ne sono altre aperte.

L’unica altra porta aperta, oltre alla 22, 80 e 443, è la 53. Non so cosa sia fail2ban, ma mi informerò e cercherò di aumentare la sicurezza. Immagino che dovrei procedere a chiudere la porta 53?

Puoi vedere cosa lo ha lasciato aperto. Non hai installato un server dei nomi, quindi probabilmente è quello il colpevole.

Devi avviare un nuovo server e spostarti lì. Non puoi sapere cosa c’è sul server. Tutto è sospetto.

E i file di backup? È sicuro importarli lì?

I file di backup del tuo Discourse dovrebbero essere al sicuro. Potresti anche creare un nuovo backup ora per assicurarti di avere tutti i tuoi dati.

Perfetto, grazie per il tuo aiuto!

Hai mai pubblicato il tuo app.yml da qualche parte o condiviso screenshot per la risoluzione dei problemi?

No, non ho mai pubblicato il mio app.yml da nessuna parte, né screenshot.

Lo screenshot nel tuo primo post sembra molto simile a Sidekiq, che elabora lavori per svariati scopi oltre alle email. È da quello screenshot che hai tratto il conteggio di 18k email?

Lo era, ma è esattamente lo stesso numero di email che Amazon SES segnala come inviate.

Se sei stato hackerato, è MOLTO improbabile che gli hacker abbiano rubato le tue credenziali e poi inviato le email tramite Sidekiq.

Se vai nei log delle email inviate in /admin/email/sent, vedi qualche indizio lì sul motivo della grande quantità?

Ho già spento il server, ma se ti riferisci alle email inviate da Discourse, allora,