O Discourse enviou mais de 18 mil e-mails? Ou meu servidor foi hackeado?

Vou ser honesto aqui: não faço ideia de como formular este tópico ou do que preciso fornecer para receber ajuda. Tudo o que sei é que o Discourse enviou mais de 18 mil e-mails e falhou ao enviar mais de 7 mil (depois que minha conta da Amazon SES foi congelada devido a uma taxa de rejeição tão alta, de cerca de 20%). Também parece que ele ainda está tentando enviar mais de 500 e-mails.

EDIT: Meu fórum tem apenas 8 membros.

Conclusão: A porta 53 estava aberta, mesmo que eu nunca tenha instalado um servidor de nomes. Aparentemente, foi hackeado (mesmo que o Sidekiq estivesse listando todos os processos, sei que ainda foi hackeado).

Minha suposição é que o e-mail ou o Redis estavam com problemas há muito tempo e hoje foram corrigidos, enviando uma série de e-mails enfileirados.

Você pode verificar em admin, e-mail, para ver o que foi enviado.

Só foram enviados 23 e-mails no total quando eu acessei.

EDIT: O dia em que isso aconteceu foi 10 de abril (acabei de perceber que foi o Discourse que enviou os e-mails), e não há nenhum e-mail lá do dia 10.

Então, algo mais enviou os e-mails.

Essa é a melhor explicação.

O que teria acontecido? Eu não executo nada no servidor além do Discourse. Será que fui atacado ou algo assim?

Também acabei de encontrar isso, na aba de retentativas do painel do Sidekiq, os argumentos são todos mais ou menos assim:
{"type"=>"digest", "user_id"=>11, "current_site_id"=>"default"}

Talvez alguém tenha obtido sua senha SMTP e tenha enviado de outro lugar? Talvez tenham invadido seu servidor (ele está protegido por senha e você não tem o fail2ban?). Algo assim.

É praticamente impossível que o Discourse tenha qualquer relação com isso.

Você provavelmente deve configurar um novo servidor e migrar o Discourse para lá.

Foi o que pensei, então fui verificar o último login, e era meu, de março.

Pode ser surpreendente, mas não é difícil editar logs. Ou instalar um rootkit que faça isso. Os endereços para os quais você está enviando não existem no Discourse, certo? Então, as mensagens não foram enviadas.

É quase certo que você foi hackeado.

Você faz login com uma senha? Você tem o fail2ban instalado?

Pesquise no Google como verificar quais portas estão abertas e veja se alguma, além das 22, 80 e 443, está aberta.

A única outra porta aberta além das 22, 80 e 443 é a 53. E eu não sei o que é o fail2ban, mas vou pesquisar sobre e tentar aumentar a segurança. Suponho que eu deva fechar a porta 53?

Você pode ver o que o deixou aberto. Você não instalou um servidor de nomes, então provavelmente essa é a causa.

Você precisa iniciar um novo servidor e migrar para lá. Não é possível saber o que há no servidor. Tudo é suspeito.

E quanto aos arquivos de backup? Eles podem ser importados lá?

Seus arquivos de backup do Discourse devem estar seguros. Você pode até mesmo fazer um novo backup agora para garantir que possui todos os seus dados.

Beleza, ótimo! Obrigado pela ajuda!

Você já postou seu app.yml em algum lugar ou compartilhou alguma captura de tela para solucionar problemas?

Não, nunca publiquei meu app.yml em lugar nenhum ou capturas de tela.

A captura de tela no seu primeiro post parece muito com o Sidekiq — que processa tarefas para todo tipo de coisa além de e-mail. É nessa captura de tela que você está obtendo a contagem de 18 mil e-mails?

Foi, mas é exatamente a mesma quantidade de e-mails que o Amazon SES indica como enviados.

Se você foi hackeado, é MUITO improvável que os hackers tenham roubado suas credenciais e, em seguida, enviado os e-mails via Sidekiq.

Se você verificar seus logs de e-mails enviados em /admin/email/sent, há alguma pista ali sobre o motivo da grande quantidade?

Já desliguei o servidor, mas se você está falando dos e-mails enviados pelo Discourse, então,