こんにちは、皆様。私は別の Discourse システムの管理者ですが、今朝、不正ログインを示す 4 通のメールを受け取りました(以下にサンプルを示します)。
私は米国ニューハンプシャー州に住んでいるため、Discourse がドイツからのログインをフラグ立てたのは正しい判断です。私は以前から良いパスワード(15 文字のランダムな文字列)を使用しており、現在それを変更しました。また、私がログインに使用した 2 台のコンピュータはすべて手元にあります。
いくつか質問があります:
- このような事態がどのようにして発生したか、心当たりはありますか?
- 私のプロフィールページには、以下のメッセージの 24 時間前にも別のログイン(これも「ドイツから…」と表示)が記録されていました。しかし、そのログインについては、受信トレイにもスパムフォルダにも通知が届きませんでした。これはどのようにして起こり得たのでしょうか?
- 攻撃者がユーザーリストをエクスポートした可能性があるようです。ダウンロードされたかどうかを特定することは可能でしょうか?
- ユーザーへの通知に関する標準的なプレイブックや手順はありますか?
- 診断や調査のために、他にどのような情報を提供できますか?
よろしくお願いいたします。
[もし適切なカテゴリでなければ申し訳ありません。@moderators - 適切な場所に移動してください。ありがとうございます。]
二段階認証(2FA)は有効になっていますか?まだの場合は、至急設定してください。
「いいね!」 2
いいえ、ですが2段階認証を有効にします。他の質問についてはご意見はありますか?ありがとうございます。
Falco
(Falco)
4
パスワードの使い回し、弱いパスワード、キーロガー、共有 Wi-Fi ネットワークなど
Nginx のログを確認してください。
攻撃者がバックアップを取得した可能性があり、その場合もメールアクセスが必要であれば、What to do if your Discourse is compromised を参照してください。
そうでない場合は、バナートピックまたは全員が通知されるカテゴリ内のトピックで十分な場合があります。
「いいね!」 7
pfaffman
(Jay Pfaffman)
5
それはあなたが眠っている間の話でしたか?新しいIPv6アドレスを取得したのに、MaxMindが間違った場所を登録していただけではないでしょうか?
ご連絡ありがとうございます。
-
はい、私は寝ていました。
-
その IPv6 アドレスは私の範囲からのものではありません(私は Hurricane Electric から 2001:470:… の範囲を割り当てています)。
-
侵入者が管理者アカウントに自身のメールアドレスを追加しようとし、ユーザーリストをダウンロードし、データベースのバックアップを取得しようとしたという証拠があります。新しいメールアドレスへのアクセスは許可されませんでした。ユーザーリストは取得されたと推測されますが、データベースは取得できていないと考えられます(まだメールアドレスを取得できていなかったため)。
したがって、メールアドレスとハンドル名は侵害されたと推測されますが、データベースはダウンロードされていないと判断しています(nginx ログより)。
他に確認すべきことはありますか?よろしくお願いいたします。
「いいね!」 4
Falco
(Falco)
7
3 つの保護機能が役立ったとのこと、大変光栄です:
- 必要なメール認証フローにより、侵入者がバックアップを取得できませんでした
- 侵入者が自身が管理するメールアドレスで管理者権限を取得できず、両方のアドレスへの確認メールが必要だったためです
- 遠隔地からのログイン時に警告メールが送信されました
確認すべき点として、Discourse が最新バージョンで稼働しており、既知の脆弱性に対するパッチが適用されているかご確認ください。
「いいね!」 12
はい、そしてそれらの保護のそれぞれは、苦労して得た教訓を経て個別に追加されたものです。それらがすべて連携して機能している様子を見るのは、特に心地よいことです!
「いいね!」 7