Hackeo/intrusión: Nuevo inicio de sesión desde

Soporte
1

Hola a todos, soy administrador en otro sistema Discourse y esta mañana me desperté con cuatro correos electrónicos que indicaban un inicio de sesión no autorizado (véase el ejemplo a continuación).

Vivo en Nuevo Hampshire, EE. UU., por lo que es correcto que Discourse haya marcado este inicio de sesión desde Alemania. Siempre he utilizado una contraseña segura (de 15 letras, aleatoria), la cual he cambiado recientemente. Tengo en mi poder las dos computadoras que he utilizado para iniciar sesión.

Algunas preguntas:

  1. ¿Alguna idea de cómo podría haber ocurrido esto?
  2. Mi página de perfil mostraba otro inicio de sesión (también “desde Alemania…”) en las 24 horas anteriores al mensaje a continuación. Sin embargo, no recibí ninguna notificación de ese inicio de sesión, ni en mi bandeja de entrada ni en la carpeta de spam. ¿Cómo pudo haber ocurrido eso?
  3. Parece que el atacante pudo haber exportado la lista de usuarios. ¿Es posible saber si alguna vez se descargó?
  4. ¿Tienen un plan de acción o procedimiento estándar para notificar a los usuarios?
  5. ¿Qué otra información podría proporcionar para diagnosticar o investigar esto?

Muchas gracias.

[Disculpen si esta no es la categoría correcta. @moderadores, por favor, muevanlo al lugar adecuado. Gracias.]

2

Do you have 2FA activated? If not get that added ASAP

2 Me gusta
3

I don’t, but will activate 2FA. Any thoughts on the other questions? Thanks.

4

Password reuse, weak passwords, keyloggers, shared wifi networks, etc

Nginx logs.

If the attacked may have obtained a backup, which needs email access too, there is What to do if your Discourse is compromised

If not, a banner topic or a topic in a category everyone is notified may suffice.

7 Me gusta
5

And that was while you were asleep? It’s not possible that you got a new Ipv6 address that maxmind just had the wrong location for?

6

Thanks for the note.

  • Yes, I was asleep

  • That IPv6 address is not from my range (I take from Hurricane Electric, in the 2001:470:… range)

  • We have evidence that the intruder attempted to add their email to an admin account, download the user list, and get the database backup. No access was granted to the new email address; we assume they retrieved the user list; but that they could not get the latter (the database) because they had not yet got email address.

So we assume emails and handles have been compromised, but that the database has not been downloaded (nginx logs).

Are there other things we should look for? Many thanks.

4 Me gusta
7

Great to hear 3 of our protections were useful:

  • Invader couldn’t get backups because of the needed email flow

  • Invader couldn’t get admin on a email that he controls because there is emails to confirm to both addresses

  • Warning emails when login happens from far away

One thing that you should check is if Discourse is running the most recent version so it’s patched against any know vulnerabilities.

12 Me gusta
8

Yes, and each of those protections was individually added after a hard-earned lesson, so it’s especially satisfying to see them all working together in tandem! :raised_hands:

7 Me gusta