Hallo zusammen, ich bin Admin auf einem anderen Discourse-System und bin heute Morgen mit vier E-Mails aufgewacht, die auf eine unbefugte Anmeldung hinwiesen (siehe Beispiel unten).
Ich lebe in NH, USA, daher ist es korrekt, dass Discourse diese Anmeldung aus Deutschland markiert hat. Ich habe immer ein gutes Passwort verwendet (15 Buchstaben, zufällig), das ich mittlerweile geändert habe. Ich besitze beide Computer, die ich je zur Anmeldung verwendet habe.
Ein paar Fragen:
Hat jemand eine Idee, wie das passiert sein könnte?
Auf meiner Profilseite wurde eine weitere Anmeldung angezeigt (ebenfalls „aus Deutschland…") innerhalb der 24 Stunden vor der untenstehenden Nachricht. Allerdings habe ich für diese Anmeldung keine Benachrichtigung erhalten – weder im Posteingang noch im Spam-Ordner. Wie könnte das passiert sein?
Es scheint, als hätte der Angreifer die Benutzerliste exportiert. Ist es möglich festzustellen, ob sie heruntergeladen wurde?
Haben Sie ein Standard-Spielbuch/eine Standardprozedur zur Benachrichtigung von Nutzern?
Welche weiteren Informationen könnte ich zur Diagnose oder Untersuchung dieses Vorfalls bereitstellen?
Vielen Dank.
[Entschuldigt bitte, falls dies nicht die richtige Kategorie ist. @Moderatoren – bitte verschiebt es an den richtigen Ort. Danke.]
Und das war, während du geschlafen hast? Es ist doch nicht möglich, dass du eine neue IPv6-Adresse erhalten hast, für die MaxMind einfach den falschen Standort hatte?
Diese IPv6-Adresse stammt nicht aus meinem Bereich (ich nutze Hurricane Electric im Bereich 2001:470:…).
Wir haben Beweise dafür, dass der Eindringling versucht hat, seine E-Mail-Adresse zu einem Admin-Konto hinzuzufügen, die Benutzerliste herunterzuladen und ein Datenbank-Backup zu erhalten. Kein Zugriff wurde für die neue E-Mail-Adresse gewährt; wir gehen davon aus, dass sie die Benutzerliste erhalten haben, aber nicht die Datenbank, da sie die E-Mail-Adresse noch nicht hatten.
Wir gehen also davon aus, dass E-Mails und Benutzernamen kompromittiert wurden, die Datenbank jedoch nicht heruntergeladen wurde (nginx-Logs).
Gibt es noch andere Dinge, nach denen wir suchen sollten? Vielen Dank.
Schön zu hören, dass drei unserer Schutzmaßnahmen hilfreich waren:
Der Angreifer konnte keine Backups erstellen, da der erforderliche E-Mail-Workflow dies verhinderte.
Der Angreifer konnte sich keinen Admin-Zugang zu einer E-Mail-Adresse verschaffen, die er kontrolliert, da Bestätigungs-E-Mails an beide Adressen gesendet werden müssen.
Warn-E-Mails bei Anmeldungen aus der Ferne.
Eine Sache, die Sie prüfen sollten, ist, ob Discourse die aktuellste Version ausführt, um gegen bekannte Sicherheitslücken gepatcht zu sein.
Ja, und jeder dieser Schutzmechanismen wurde nach einer hart erkämpften Lektion einzeln hinzugefügt. Deshalb ist es besonders befriedigend zu sehen, wie sie alle gemeinsam Hand in Hand arbeiten!
