اختراق: تسجيل دخول جديد من

مرحبًا أيها الأصدقاء، أنا مشرف على نظام Discourse آخر، واستيقظت هذا الصباح على أربع رسائل بريد إلكتروني تشير إلى تسجيل دخول غير مصرح به (انظر العينة أدناه).

أعيش في نيو هامبشاير، الولايات المتحدة، لذا من المنطقي أن يكون Discourse قد حذّر من تسجيل الدخول هذا من ألمانيا. لطالما استخدمت كلمة مرور قوية (15 حرفًا عشوائيًا)، وقد قمت بتغييرها الآن. وأنا أملك الحاسوبين اللذين استخدمتهما فقط لتسجيل الدخول.

بعض الأسئلة:

1. هل لديكم أي فكرة عن كيفية حدوث ذلك؟
2. أظهرت صفحتي الشخصية تسجيل دخول آخر (أيضًا “من ألمانيا…”) خلال الـ24 ساعة السابقة للرسالة أدناه. لكنني لم أتلقّ أي إشعار عن ذلك التسجيل، سواء في صندوق الوارد أو مجلد البريد المزعج. كيف يمكن أن يكون ذلك؟
3. يبدو أن المهاجم قد قام بتصدير قائمة المستخدمين. هل من الممكن معرفة ما إذا تم تنزيلها؟
4. هل لديكم خطة عمل أو إجراء قياسي لإخطار المستخدمين؟
5. ما المعلومات الأخرى التي يمكنني تقديمها للمساعدة في تشخيص أو التحقيق في هذه الحادثة؟

شكرًا جزيلاً.

[أعتذر إذا لم تكن هذه الفئة المناسبة. @المشرفون - يرجى نقلها إلى المكان المناسب. شكرًا.]

Do you have 2FA activated? If not get that added ASAP

I don’t, but will activate 2FA. Any thoughts on the other questions? Thanks.

Password reuse, weak passwords, keyloggers, shared wifi networks, etc

Nginx logs.

If the attacked may have obtained a backup, which needs email access too, there is What to do if your Discourse is compromised

If not, a banner topic or a topic in a category everyone is notified may suffice.

And that was while you were asleep? It’s not possible that you got a new Ipv6 address that maxmind just had the wrong location for?

Thanks for the note.

• Yes, I was asleep

• That IPv6 address is not from my range (I take from Hurricane Electric, in the 2001:470:… range)

• We have evidence that the intruder attempted to add their email to an admin account, download the user list, and get the database backup. No access was granted to the new email address; we assume they retrieved the user list; but that they could not get the latter (the database) because they had not yet got email address.

So we assume emails and handles have been compromised, but that the database has not been downloaded (nginx logs).

Are there other things we should look for? Many thanks.

Great to hear 3 of our protections were useful:

• Invader couldn’t get backups because of the needed email flow

• Invader couldn’t get admin on a email that he controls because there is emails to confirm to both addresses

• Warning emails when login happens from far away

One thing that you should check is if Discourse is running the most recent version so it’s patched against any know vulnerabilities.

Yes, and each of those protections was individually added after a hard-earned lesson, so it’s especially satisfying to see them all working together in tandem!