Hack/intrusione: nuovo accesso da

Supporto
1

Ciao a tutti, sono un amministratore su un altro sistema Discourse e questa mattina mi sono svegliato con quattro messaggi email che indicavano un accesso non autorizzato (vedi esempio in basso).

Vivo nel New Hampshire, negli Stati Uniti, quindi è corretto che Discourse abbia segnalato questo accesso dalla Germania. Ho sempre utilizzato una password sicura (15 caratteri casuali), che ho appena modificato. Sono in possesso dei due computer che ho mai usato per accedere.

Alcune domande:

  1. Avete idea di come potrebbe essere successo?
  2. La mia pagina del profilo mostrava un altro accesso (anch’esso “dalla Germania…”) nelle 24 ore precedenti al messaggio qui sotto. Tuttavia, non ho ricevuto alcuna notifica per quell’accesso, né nella mia casella di posta né nella cartella spam. Come potrebbe essere successo?
  3. Sembra che l’attaccante possa aver esportato l’elenco degli utenti. È possibile verificare se è stato effettivamente scaricato?
  4. Avete un protocollo o una procedura standard per notificare gli utenti?
  5. Quali altre informazioni potrei fornire per diagnosticare o indagare su questo caso?

Grazie mille.

[Scusate se questa non è la categoria corretta. @moderators - per favore spostatela nel posto giusto. Grazie.]

2

Hai attivato l’autenticazione a due fattori (2FA)? Se non l’hai ancora fatto, aggiungila al più presto.

3

No, ma attiverò l’autenticazione a due fattori. Hai qualche idea sulle altre domande? Grazie.

4

Riuso delle password, password deboli, keylogger, reti Wi-Fi condivise, ecc.

Log di Nginx.

Se l’attaccante potrebbe aver ottenuto un backup, che richiede anche l’accesso alla posta elettronica, consulta What to do if your Discourse is compromised

In caso contrario, potrebbe bastare un argomento banner o un argomento in una categoria dove tutti ricevono una notifica.

5

Ed è successo mentre dormivi? Non è possibile che tu abbia ottenuto un nuovo indirizzo IPv6 e che MaxMind abbia semplicemente la posizione sbagliata?

6

Grazie per la nota.

  • Sì, stavo dormendo

  • Quel indirizzo IPv6 non proviene dal mio range (utilizzo quello di Hurricane Electric, nel range 2001:470:…)

  • Abbiamo prove che l’intruso abbia tentato di aggiungere la propria email a un account amministratore, scaricare l’elenco degli utenti e ottenere il backup del database. Non è stato concesso accesso al nuovo indirizzo email; presumiamo che abbiano recuperato l’elenco degli utenti, ma che non siano riusciti ad accedere al database perché non avevano ancora ottenuto l’indirizzo email.

Quindi presumiamo che le email e gli handle siano stati compromessi, ma che il database non sia stato scaricato (log di nginx).

Ci sono altre cose che dovremmo cercare? Grazie mille.

7

È ottimo sapere che 3 delle nostre protezioni si sono rivelate utili:

  • L’invasore non è riuscito a ottenere i backup a causa del flusso di email richiesto

  • L’invasore non è riuscito a ottenere i privilegi di amministratore su un’email che controlla perché è necessario confermare entrambe le indirizzi

  • Email di avviso quando avviene un accesso da una località remota

Una cosa che dovresti verificare è se Discourse esegue l’ultima versione, così da essere protetto contro eventuali vulnerabilità note.

8

Sì, e ciascuna di queste protezioni è stata aggiunta individualmente dopo una lezione conquistata con fatica, quindi è particolarmente gratificante vederle tutte funzionare insieme in perfetta sintonia! :raising_hands: