Hack/invasão: Novo login de

Suporte
1

Olá pessoal, sou administrador de outro sistema Discourse e esta manhã acordei com quatro mensagens de e-mail indicando um login não autorizado (veja o exemplo abaixo).

Moro em NH, EUA, então é correto que o Discourse tenha sinalizado esse login vindo da Alemanha. Sempre usei uma boa senha (15 letras, aleatória), que agora alterei. Tenho em meu poder os dois computadores que já usei para fazer login.

Algumas perguntas:

  1. Alguma ideia de como isso pode ter acontecido?
  2. Minha página de perfil mostrava outro login (também “da Alemanha…”) nas 24 horas anteriores à mensagem abaixo. Mas não recebi nenhuma notificação para aquele login — nem na minha caixa de entrada nem na pasta de spam. Como isso pode ter acontecido?
  3. Parece que o invasor pode ter exportado a lista de usuários. É possível saber se ela foi baixada?
  4. Vocês têm um roteiro ou procedimento padrão para notificar os usuários?
  5. Que outras informações eu poderia fornecer para diagnosticar ou investigar isso?

Muito obrigado.

[Desculpe se esta não é a categoria correta. @moderadores — por favor, movam para o lugar certo. Obrigado.]

2

Você tem a autenticação de dois fatores (2FA) ativada? Se não, adicione-a o mais rápido possível.

2 curtidas
3

Eu não, mas vou ativar a 2FA. Alguma opinião sobre as outras perguntas? Obrigado.

4

Reutilização de senhas, senhas fracas, keyloggers, redes Wi-Fi compartilhadas, etc.

Logs do Nginx.

Se o ataque pode ter obtido um backup, que também precisa de acesso ao e-mail, consulte What to do if your Discourse is compromised

Se não, um tópico em destaque ou um tópico em uma categoria onde todos são notificados pode ser suficiente.

7 curtidas
5

E isso foi enquanto você estava dormindo? Não é possível que você tenha obtido um novo endereço IPv6 e que o MaxMind apenas tivesse a localização errada?

6

Obrigado pela mensagem.

  • Sim, eu estava dormindo.

  • Esse endereço IPv6 não pertence ao meu intervalo (eu uso o da Hurricane Electric, na faixa 2001:470:…).

  • Temos evidências de que o intruso tentou adicionar seu e-mail a uma conta de administrador, baixar a lista de usuários e obter o backup do banco de dados. Nenhum acesso foi concedido ao novo endereço de e-mail; acreditamos que eles tenham obtido a lista de usuários, mas não conseguiram acessar o banco de dados, pois ainda não haviam obtido o endereço de e-mail.

Portanto, assumimos que os e-mails e os nomes de usuário foram comprometidos, mas que o banco de dados não foi baixado (conforme os logs do nginx).

Há mais alguma coisa que devamos verificar? Muito obrigado.

4 curtidas
7

Ótimo saber que 3 das nossas proteções foram úteis:

  • O invasor não conseguiu obter backups por causa do fluxo de e-mail necessário.

  • O invasor não conseguiu obter acesso de administrador a um e-mail que ele controla, pois são necessários e-mails de confirmação para ambos os endereços.

  • E-mails de aviso quando o login ocorre de locais distantes.

Uma coisa que você deve verificar é se o Discourse está executando a versão mais recente, para que esteja corrigido contra quaisquer vulnerabilidades conhecidas.

12 curtidas
8

Sim, e cada uma dessas proteções foi adicionada individualmente após uma lição difícil, então é especialmente satisfatório vê-las todas funcionando juntas em harmonia! :raising_hands:

7 curtidas