لقد تم اختراقك بواسطة إضافة

لقد أعدت بناء أحد منتديات Discourse الخاصة بي للتو، وعندما أقوم بتحميله في المتصفح، تظهر الرسالة التالية في نافذة منبثقة:

لقد تم اختراقك بواسطة إضافة! بواسطة w3shi(Hackerone)-S.Lakshmi Vignesh(RCE-POC)

يا إلهي… ما الذي يحدث؟ هل تم اختراق إحدى الإضافات التي أستخدمها؟

هل هناك أي فرصة أنك استخدمت المكون الإضافي migrate password؟ أو مكون إضافي آخر من مستودع discoursehosting؟

يبدو أن هذا المنتدى تأثر أيضًا Am I hacked? or not - Forum Management - Suggestions - DxO Forum

نعم، إنها في القائمة. وهي الوحيدة من discoursehosting.

أتذكر أنها تحتاج إلى أن تكون نشطة للسماح للمستخدمين “القدامى” بتسجيل الدخول، صحيح؟

لكن السؤال الآن هو ما إذا كان التثبيت قد تم اختراقه أم أنه يعرض هذه الرسالة فقط. الموقع معطل في الوقت الحالي كإجراء احترازي.

بالإضافة إلى هذه الإضافة، إليك قائمة بما أستخدمه:

• GitHub - discourse/docker_manager: Plugin for use with discourse docker image
• GitHub - discourse/discourse-adplugin: Official Discourse Advertising Plugin. Install & Start Serving Ads on Your Discourse Forum
• GitHub - discourse/discourse-affiliate
• GitHub - discourse/discourse-ai
• GitHub - discourse/discourse-akismet: give spam a whoopin
• GitHub - pfaffman/discourse-allow-pm-to-staff: Allow private messages to be sent to staff for users who could otherwise not send private messages.
• GitHub - discourse/discourse-animated-avatars: A plugin to add gif avatars in Discourse
• GitHub - discourse/discourse-authentication-validations
• GitHub - discourse/discourse-auto-deactivate: This plugin will automatically deactivate stale users so that they need to recomfirm their email in order to login in again
• GitHub - discourse/discourse-bbcode: vBulletin BBCode plugin
• GitHub - discourse/discourse-bcc: Allows staff members to send individual PMs to many users at once (like email BCC)
• GitHub - discourse/discourse-cakeday: Show a birthday cake emoji beside the names of members on their join anniversary, or their actual birthday -- and a browsable directory of upcoming anniversaries / birthdays.
• GitHub - discourse/discourse-characters-required: Display how many characters are required before a post be made
• GitHub - discourse/discourse-fingerprint: A plugin that computes user fingerprints to help administrators combat internet trolls.
• GitHub - discourse/discourse-follow: A Discourse plugin that lets you follow other users.
• GitHub - LeoDavidson/discourse-forcemoderation: Discourse plugin to force posts by specified usernames through moderation.
• GitHub - discourse/discourse-docs
• GitHub - communiteq/discourse-legal-compliance
• GitHub - merefield/discourse-locations: Tools for handling locations in Discourse
• https://github.com/discoursehosting/discourse-migratepassword.git
• GitHub - discourse/discourse-policy
• GitHub - paviliondev/discourse-post-badges-plugin
• GitHub - communiteq/discourse-private-topics
• GitHub - discourse/discourse-push-notifications: Plugin for integrating Chrome and FireFox push notifications
• GitHub - featheredtoast/discourse-pushover-notifications: Pushover notifications for Discourse
• GitHub - discourse/discourse-restricted-replies: Plugin to restrict replies in a category to the OP, and members of a specified group
• GitHub - discourse/discourse-saved-searches: Allow users to save searches and be notified of new results.
• GitHub - discourse/discourse-shared-edits: Shared edits for Discourse
• GitHub - discourse/discourse-signatures: A Discourse Plugin to show user signatures below posts
• GitHub - discourse/discourse-solved: Allow accepted answers on topics
• GitHub - discourse/discourse-staff-alias: Allow staff users to post under an alias
• GitHub - discourse/discourse-steam-login: Allows user authentication with discourse via the Steam user API
• GitHub - singerscreations/discourse-stopforumspam
• GitHub - discourse/discourse-styleguide: Adds a styleguide to Discourse to aid in styling
• GitHub - davidtaylorhq/discourse-telegram-notifications: A plugin for Discourse which allows users to receive their notifications by telegram message
• GitHub - discourse/discourse-templates: A plugin that allows users to use templates to insert frequently used content
• GitHub - discourse/discourse-tooltips: Show tooltips around Discourse on hover, including topic previews
• GitHub - jannolii/discourse-topic-trade-buttons
• GitHub - discourse/discourse-topic-voting: Adds the ability for voting on a topic within a specified category in Discourse.
• GitHub - discourse/discourse-translator
• GitHub - discourse/discourse-user-field-prompt
• GitHub - communiteq/discourse-user-response-times
• GitHub - discourse/discourse-whos-online: A plugin for Discourse which uses the messagebus to display a live list of active users
• GitHub - discourse/discourse-yearly-review: Publishes an automated Year in Review topic

فقط قم بإزالة أي شيء يشير إلى discoursehosting

ترجمة Google لمنشور المنتدى الفرنسي:

استعاد باحث أمني زائف مستودع Git قديمًا لمكون إضافي استخدمه المنتدى واستولى عليه ببساطة لعرض هذه الرسالة.

تم فحص المستودع المعني (GitHub - discoursehosting/discourse-migratepassword: لمسة من الأمان) ولا يوجد به أي رمز ضار (إنه مجرد إثبات مفهوم).

في الواقع، قام هذا المستودع بتغيير عنوان URL الخاص به (وهو متاح الآن على GitHub - communiteq/discourse-migratepassword: دعم تجزئات كلمات المرور المهاجرة) وقام المستخدم ببساطة بإعادة إنشاء مستودع discoursehosting/discourse-migratepassword، الذي كان يعيد التوجيه سابقًا إلى communiteq/discourse-migratepassword، لوضع رمز غير ذي صلة هناك. كنا نستخدم عنوان URL القديم، وهذا هو سبب تأثرنا.

إذا كان هذا صحيحًا، حسنًا… لقد قمت بتغيير عنوان URL للمكون الإضافي إلى communiteq وأقوم بإعادة البناء في الوقت الحالي. لكن يجب أن أتعمق في هذا الأمر (نظرًا لأنني لست مبرمجًا، لا يمكنني أن أكون متأكدًا بنسبة 100٪).

ملخص سريع

هذه ثغرة في جيت هاب ضمن فئة استغلال تسمى “Repojacking”.
نوصي الجميع بالتحقق من عناوين URL الخاصة بإضافات جيت هاب الخاصة بهم وإعادة تسمية كل مثيل من discoursehosting إلى communiteq.

خلفية:

اضطررنا إلى إعادة تسمية شركتنا من Discoursehosting إلى Communiteq في عام 2019.
إذا حدث ذلك، يقوم جيت هاب تلقائيًا بإعادة توجيه عناوين URL إلى مستودعات جيت هاب إلى موقعها الجديد، حتى يقوم شخص ما بإنشاء مستودع بنفس الاسم. في تلك اللحظة، سيحصل المستودع الجديد على الأفضلية.
كان جيت هاب يضع علامة على مثل هذه المستودعات على أنها “متقاعدة” ويمنع إنشاء مستودع بنفس الاسم.
تم وصف استغلال سابق هنا. يبدو أن هذا الإصلاح لم يعد فعالاً.
لقد قدمنا تقرير إساءة استخدام لجيت هاب وسنحاول إزالة هذا المستودع بكل الوسائل المتاحة.

في هذه اللحظة، يعرض المكون الإضافي المخترق رسالة فقط ويترك ملفًا غير ضار في /tmp.
لذلك لم يحدث شيء سيء - حتى الآن. من المهم تغيير عنوان URL للمكون الإضافي الخاص بك قبل إعادة البناء.

رائع، يمكن أن يخدع المستخدم النهائي بسهولة، وهي إحدى العيوب الرئيسية لعدم استخدام الاستضافة الرسمية لـ discourse.org.

إذا كان أي من حسابي

angusmcleod (Angus McLeod) · GitHub أو merefield (Robert) · GitHub

قد توقف عن الوجود

فسيتم الكشف عن مسار فرعي أول، لذلك سيكون هناك أمر استنساخ في ملف app.yml الخاص بي ليقوم بإعادة البناء بتنفيذه.

للتخفيف من التأثير المحتمل على مستخدمي التثبيت القياسي، أضفنا رمزًا لاكتشاف github.com/discoursehosting/ وإلغاء أي عمليات إعادة بناء/ترقية.

• Fail rebuild for config files containing compromised github organisat… · discourse/discourse_docker@7889fe3 · GitHub

• Fail rebuild for config files containing compromised github organisat… · discourse/docker_manager@f568625 · GitHub

سيبدو الخطأ شيئًا كهذا

---
خطأ: يحتوي ملف التكوين containers/app.yml على إشارات إلى منظمة github مخترقة: github.com/discoursehosting
يرجى إزالة أي إشارات إلى هذه المنظمة من ملف التكوين الخاص بك.
لمزيد من المعلومات، راجع https://meta.discourse.org/t/374703/6
---

شكرا لك ديفيد!

مرحباً بمجتمع Discourse،

أود أن أعتذر بصدق عن الاضطراب الذي سببته أفعالي فيما يتعلق بمستودع الإضافات. في محاولة لتسليط الضوء على مشكلة أمنية، ارتكبت أخطاء جسيمة انتهكت مدونة قواعد السلوك.

في المستقبل، سأضمن التزام أفعالي بممارسات الإفصاح المسؤولة، وأقدر فرصة التعلم من هذا.

مرة أخرى، أنا آسف حقًا على الاضطراب الذي حدث.

@w3shi

شكراً لاعتذارك.

_{الشيء غير المسؤول التالي هو عدم التواصل معي أو مع CDCK بشكل خاص عندما تخليت عن المقبض، لأنه في الساعات الثلاث الماضية، كان بإمكان شخص آخر رؤية منشورك وتسجيله.}

لقد استعدت الآن السيطرة على مقبض Github القديم. وشكراً لك على فعل الشيء الصحيح في النهاية، وعلى الإشارة إلى أن Github لم يعد يحمي عمليات إعادة التوجيه للمرة الخامسة (كانت المرة الأخيرة هي الرابعة: “This discovery marks the fourth time an alternate method has been identified for performing Repojacking”)

أقترح عليك التواصل مع Github وجمع مكافأتك!

أعتذر بشدة عن كل الإزعاج الذي سببته! وشكراً لتفهمك @RGJ !.

مرحباً بك في المجتمع وشكراً لك على إصلاح كل شيء.

يجب أن تفترض بشكل أساسي أنه لا شيء آمن، وهذا لا يعمل بشكل جيد أيضًا.

قبل أيام قليلة فقط، اتضح أن أحد المطورين وراء حساب NPM لبعض حزم ESLint Prettier قد تم اختراقه ونشروا إصدارات مخترقة جديدة لبعض الحزم الشائعة:

تمت الإشارة إلى هذه الحزم بعد ذلك في حزم أخرى، لأن الكثيرين يدعون أنه يجب عليك دائمًا التحديث إلى أحدث الإصدارات.

بعد أن رأيت هذا الموضوع، اقترحت ميزة لإدخال التحقق من توقيع المكونات الإضافية / السمات عند تحديثها: Plugin and theme component signing

هذا لن يوقف مفتاحًا مخترقًا، ولكنه على الأقل سيجعل جزءًا من سلسلة التوريد أكثر موثوقية. في النهاية، لا يزال من الممكن سحب مكتبات طرف ثالث مخترقة. التبعيات الإضافية ليست مرئية حقًا.

لست متأكدًا مما إذا كان هذا لا يزال يعمل. كان لدي مكون إضافي يشير إلى عنوان URL المخترق لـ GitHub، وذكرت رسالة الخطأ أثناء إعادة البناء أنها فشلت في سحب المستودع، مع مزيد من التفاصيل حول إصدار gem أو شيء من هذا القبيل. (لا يمكنني لصق المعلومات الدقيقة لأنها بعيدة جدًا في سجل التمرير الخاص بي بسبب الضوضاء الأخرى أثناء عمليات البناء اللاحقة.)

يبدو أن عنوان URL/المستودع غير موجود على الإطلاق الآن، وهو أمر جيد (على الأقل حتى يقوم شخص آخر بإعادة إنشائه) ولكن رسالة الخطأ كانت ستوفر الكثير من الوقت.

بالفعل، @RGJ عاد الآن للسيطرة على منظمة github، لذلك قمنا بإزالة رسالة الخطأ المؤقتة.

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.