大家好,我是另一个 Discourse 系统的管理员。今天早上醒来时,我收到了四封电子邮件,提示有未经授权的登录行为(参见下方示例)。
我居住在美国新罕布什尔州,因此 Discourse 标记来自德国的登录行为是正确的。我一直使用强密码(15 位随机字符),并且现已更改。我拥有曾经用于登录的两台电脑。
我有几个问题:
非常感谢。
[如果这不是合适的分类,敬请谅解。@moderators - 请将其移至正确的位置。谢谢。]
您是否已启用双重验证(2FA)?如果尚未启用,请尽快添加。
我没有,但会启用双重验证。对于其他问题有什么看法吗?谢谢。
密码复用、弱密码、键盘记录器、共享 Wi-Fi 网络等。
查看 Nginx 日志。
如果攻击者可能获取了备份(这也需要邮件访问权限),请参考:What to do if your Discourse is compromised
如果没有,发布一个置顶公告主题或在所有人都能收到通知的类别中发帖可能就足够了。
那是在你睡着的时候发生的吗?有没有可能你获得了新的 IPv6 地址,而 MaxMind 只是定位错了?
谢谢您的留言。
是的,我当时在睡觉。
该 IPv6 地址不属于我的地址范围(我从 Hurricane Electric 获取地址,范围是 2001:470:…)。
我们有证据表明,入侵者曾尝试将他们的邮箱添加到管理员账户、下载用户列表,并获取数据库备份。新的邮箱地址未获得任何访问权限;我们推测他们可能已获取用户列表,但由于尚未获得邮箱地址,因此未能获取数据库备份。
因此,我们假设邮箱和用户名可能已遭泄露,但数据库并未被下载(根据 nginx 日志判断)。
还有其他需要我们排查的事项吗?非常感谢。
很高兴听到我们的三项保护措施发挥了作用:
由于需要邮箱验证流程,入侵者无法获取备份。
由于需要同时向两个邮箱地址发送确认邮件,入侵者无法在他控制的邮箱上获取管理员权限。
当从异地登录时会发送警告邮件。
有一点你需要检查:请确认 Discourse 是否运行的是最新版本,以确保其已修补所有已知漏洞。
是的,每一项保护措施都是在付出艰辛代价、吸取教训后逐步加入的,因此看到它们如今协同运作,尤其令人欣慰!