Piraterie/intrusion : nouvelle connexion depuis

Soutien
1

Bonjour à tous, je suis administrateur sur un autre système Discourse, et ce matin, je me suis réveillé avec quatre messages électroniques indiquant une connexion non autorisée (voir exemple ci-dessous).

Je réside au New Hampshire, aux États-Unis, il est donc normal que Discourse ait signalé cette connexion en provenance d’Allemagne. J’ai toujours utilisé un bon mot de passe (15 caractères, aléatoire), que j’ai désormais modifié. Je possède les deux ordinateurs que j’ai jamais utilisés pour me connecter.

Quelques questions :

  1. Avez-vous une idée de la façon dont cela a pu se produire ?
  2. Ma page de profil montrait une autre connexion (également « en provenance d’Allemagne… ») dans les 24 heures précédant le message ci-dessous. Cependant, je n’ai reçu aucune notification pour cette connexion, ni dans ma boîte de réception ni dans mes spams. Comment cela a-t-il pu se produire ?
  3. Il semble que l’attaquant ait peut-être exporté la liste des utilisateurs. Est-il possible de savoir si elle a été téléchargée ?
  4. Avez-vous un scénario ou une procédure standard pour notifier les utilisateurs ?
  5. Quelles autres informations pourrais-je fournir pour diagnostiquer ou enquêter sur cet incident ?

Merci beaucoup.

[Désolé si ce n’est pas la bonne catégorie. @modérateurs - veuillez déplacer ce message au bon endroit. Merci.]

2

Avez-vous activé la double authentification (2FA) ? Si non, ajoutez-la dès que possible.

2 « J'aime »
3

Je ne le fais pas, mais j’activerai la double authentification. Qu’en pensez-vous pour les autres questions ? Merci.

4

Réutilisation des mots de passe, mots de passe faibles, enregistreurs de frappe, réseaux Wi-Fi partagés, etc.

Les journaux Nginx.

Si l’attaquant a pu obtenir une sauvegarde, ce qui nécessite également un accès à l’e-mail, consultez What to do if your Discourse is compromised

Sinon, un sujet-bannière ou un sujet dans une catégorie où tous les utilisateurs sont notifiés peut suffire.

7 « J'aime »
5

Et c’était pendant que vous dormiez ? Il n’est pas possible que vous ayez obtenu une nouvelle adresse IPv6 pour laquelle MaxMind avait simplement une mauvaise localisation ?

6

Merci pour votre message.

  • Oui, je dormais.

  • Cette adresse IPv6 ne provient pas de ma plage (je m’approvisionne chez Hurricane Electric, dans la plage 2001:470:…).

  • Nous avons la preuve que l’intrus a tenté d’ajouter son adresse e-mail à un compte administrateur, de télécharger la liste des utilisateurs et d’obtenir une sauvegarde de la base de données. Aucun accès n’a été accordé à la nouvelle adresse e-mail ; nous supposons qu’ils ont récupéré la liste des utilisateurs, mais qu’ils n’ont pas pu obtenir cette dernière (la base de données) car ils n’avaient pas encore obtenu l’adresse e-mail.

Nous supposons donc que les e-mails et les identifiants ont été compromis, mais que la base de données n’a pas été téléchargée (journaux nginx).

Y a-t-il d’autres éléments que nous devrions examiner ? Merci beaucoup.

4 « J'aime »
7

Ravi d’apprendre que 3 de nos protections ont été utiles :

  • L’intrus n’a pas pu obtenir les sauvegardes en raison du flux d’e-mail requis

  • L’intrus n’a pas pu obtenir les droits d’administrateur sur un e-mail qu’il contrôle, car des confirmations doivent être envoyées aux deux adresses

  • Des e-mails d’avertissement sont envoyés lorsqu’une connexion est effectuée depuis un endroit éloigné

Une chose que vous devriez vérifier est de savoir si Discourse exécute la version la plus récente, afin qu’il soit protégé contre toutes les vulnérabilités connues.

12 « J'aime »
8

Oui, et chacune de ces protections a été ajoutée individuellement après une leçon difficilement acquise. C’est donc particulièrement gratifiant de les voir toutes fonctionner ensemble en parfaite harmonie ! :raising_hands:

7 « J'aime »