Hack/invasão: Novo login de

Olá pessoal, sou administrador de outro sistema Discourse e esta manhã acordei com quatro mensagens de e-mail indicando um login não autorizado (veja o exemplo abaixo).

Moro em NH, EUA, então é correto que o Discourse tenha sinalizado esse login vindo da Alemanha. Sempre usei uma boa senha (15 letras, aleatória), que agora alterei. Tenho em meu poder os dois computadores que já usei para fazer login.

Algumas perguntas:

1. Alguma ideia de como isso pode ter acontecido?
2. Minha página de perfil mostrava outro login (também “da Alemanha…”) nas 24 horas anteriores à mensagem abaixo. Mas não recebi nenhuma notificação para aquele login — nem na minha caixa de entrada nem na pasta de spam. Como isso pode ter acontecido?
3. Parece que o invasor pode ter exportado a lista de usuários. É possível saber se ela foi baixada?
4. Vocês têm um roteiro ou procedimento padrão para notificar os usuários?
5. Que outras informações eu poderia fornecer para diagnosticar ou investigar isso?

Muito obrigado.

[Desculpe se esta não é a categoria correta. @moderadores — por favor, movam para o lugar certo. Obrigado.]

Do you have 2FA activated? If not get that added ASAP

I don’t, but will activate 2FA. Any thoughts on the other questions? Thanks.

Password reuse, weak passwords, keyloggers, shared wifi networks, etc

Nginx logs.

If the attacked may have obtained a backup, which needs email access too, there is What to do if your Discourse is compromised

If not, a banner topic or a topic in a category everyone is notified may suffice.

And that was while you were asleep? It’s not possible that you got a new Ipv6 address that maxmind just had the wrong location for?

Thanks for the note.

• Yes, I was asleep

• That IPv6 address is not from my range (I take from Hurricane Electric, in the 2001:470:… range)

• We have evidence that the intruder attempted to add their email to an admin account, download the user list, and get the database backup. No access was granted to the new email address; we assume they retrieved the user list; but that they could not get the latter (the database) because they had not yet got email address.

So we assume emails and handles have been compromised, but that the database has not been downloaded (nginx logs).

Are there other things we should look for? Many thanks.

Great to hear 3 of our protections were useful:

• Invader couldn’t get backups because of the needed email flow

• Invader couldn’t get admin on a email that he controls because there is emails to confirm to both addresses

• Warning emails when login happens from far away

One thing that you should check is if Discourse is running the most recent version so it’s patched against any know vulnerabilities.

Yes, and each of those protections was individually added after a hard-earned lesson, so it’s especially satisfying to see them all working together in tandem!