Hack/intrusione: nuovo accesso da

Ciao a tutti, sono un amministratore su un altro sistema Discourse e questa mattina mi sono svegliato con quattro messaggi email che indicavano un accesso non autorizzato (vedi esempio in basso).

Vivo nel New Hampshire, negli Stati Uniti, quindi è corretto che Discourse abbia segnalato questo accesso dalla Germania. Ho sempre utilizzato una password sicura (15 caratteri casuali), che ho appena modificato. Sono in possesso dei due computer che ho mai usato per accedere.

Alcune domande:

1. Avete idea di come potrebbe essere successo?
2. La mia pagina del profilo mostrava un altro accesso (anch’esso “dalla Germania…”) nelle 24 ore precedenti al messaggio qui sotto. Tuttavia, non ho ricevuto alcuna notifica per quell’accesso, né nella mia casella di posta né nella cartella spam. Come potrebbe essere successo?
3. Sembra che l’attaccante possa aver esportato l’elenco degli utenti. È possibile verificare se è stato effettivamente scaricato?
4. Avete un protocollo o una procedura standard per notificare gli utenti?
5. Quali altre informazioni potrei fornire per diagnosticare o indagare su questo caso?

Grazie mille.

[Scusate se questa non è la categoria corretta. @moderators - per favore spostatela nel posto giusto. Grazie.]

Do you have 2FA activated? If not get that added ASAP

I don’t, but will activate 2FA. Any thoughts on the other questions? Thanks.

Password reuse, weak passwords, keyloggers, shared wifi networks, etc

Nginx logs.

If the attacked may have obtained a backup, which needs email access too, there is What to do if your Discourse is compromised

If not, a banner topic or a topic in a category everyone is notified may suffice.

And that was while you were asleep? It’s not possible that you got a new Ipv6 address that maxmind just had the wrong location for?

Thanks for the note.

• Yes, I was asleep

• That IPv6 address is not from my range (I take from Hurricane Electric, in the 2001:470:… range)

• We have evidence that the intruder attempted to add their email to an admin account, download the user list, and get the database backup. No access was granted to the new email address; we assume they retrieved the user list; but that they could not get the latter (the database) because they had not yet got email address.

So we assume emails and handles have been compromised, but that the database has not been downloaded (nginx logs).

Are there other things we should look for? Many thanks.

Great to hear 3 of our protections were useful:

• Invader couldn’t get backups because of the needed email flow

• Invader couldn’t get admin on a email that he controls because there is emails to confirm to both addresses

• Warning emails when login happens from far away

One thing that you should check is if Discourse is running the most recent version so it’s patched against any know vulnerabilities.

Yes, and each of those protections was individually added after a hard-earned lesson, so it’s especially satisfying to see them all working together in tandem!