مرحبًا أيها الأصدقاء، أنا مشرف على نظام Discourse آخر، واستيقظت هذا الصباح على أربع رسائل بريد إلكتروني تشير إلى تسجيل دخول غير مصرح به (انظر العينة أدناه).
أعيش في نيو هامبشاير، الولايات المتحدة، لذا من المنطقي أن يكون Discourse قد حذّر من تسجيل الدخول هذا من ألمانيا. لطالما استخدمت كلمة مرور قوية (15 حرفًا عشوائيًا)، وقد قمت بتغييرها الآن. وأنا أملك الحاسوبين اللذين استخدمتهما فقط لتسجيل الدخول.
بعض الأسئلة:
هل لديكم أي فكرة عن كيفية حدوث ذلك؟
أظهرت صفحتي الشخصية تسجيل دخول آخر (أيضًا “من ألمانيا…”) خلال الـ24 ساعة السابقة للرسالة أدناه. لكنني لم أتلقّ أي إشعار عن ذلك التسجيل، سواء في صندوق الوارد أو مجلد البريد المزعج. كيف يمكن أن يكون ذلك؟
يبدو أن المهاجم قد قام بتصدير قائمة المستخدمين. هل من الممكن معرفة ما إذا تم تنزيلها؟
هل لديكم خطة عمل أو إجراء قياسي لإخطار المستخدمين؟
ما المعلومات الأخرى التي يمكنني تقديمها للمساعدة في تشخيص أو التحقيق في هذه الحادثة؟
شكرًا جزيلاً.
[أعتذر إذا لم تكن هذه الفئة المناسبة. @المشرفون - يرجى نقلها إلى المكان المناسب. شكرًا.]
عنوان IPv6 هذا ليس من النطاق الخاص بي (أستخدم نطاق Hurricane Electric، في نطاق 2001:470:…).
لدينا أدلة على أن المتسلل حاول إضافة بريده الإلكتروني إلى حساب المسؤول، وتنزيل قائمة المستخدمين، والحصول على نسخة احتياطية من قاعدة البيانات. لم يُمنح أي وصول إلى عنوان البريد الإلكتروني الجديد؛ نفترض أنهم تمكنوا من استعادة قائمة المستخدمين، لكنهم لم يتمكنوا من الحصول على الأخيرة (قاعدة البيانات) لأنهم لم يحصلوا بعد على عنوان البريد الإلكتروني.
لذلك نفترض أن عناوين البريد الإلكتروني والمعرفات قد تعرضت للاختراق، لكن قاعدة البيانات لم يتم تنزيلها (سجلات nginx).
هل هناك أشياء أخرى يجب أن نبحث عنها؟ شكرًا جزيلًا.
