Noch einer, der Spaß macht

Das öffnet eine lustige Büchse der Pandora. Danke im Voraus.

Ich erhielt um 20:47 Uhr Ortszeit eine Benachrichtigung, dass meine Discourse-Seite nicht erreichbar war.

Mein Server wurde stark beansprucht (die durchschnittliche Auslastung lag zwischen 8 im unteren und 15 im oberen Bereich), Discourse lief, und es gab nichts, was ich leicht als Problem erkennen konnte.

Ich habe Discourse Doctor ausgeführt, kein Problem.

Ich musste die Compute-Instanz neu starten, was das Problem nicht löste.
Schließlich habe ich die Instanz über 30 Minuten gestoppt, bevor ich sie neu gestartet habe.
Problem behoben.

Beachten Sie, dass meine Discourse-Seite wirklich, wirklich klein ist – etwa 20 aktive Benutzer.
Ich kann nicht beweisen, dass es eine Art DDoS-Aktivität gab, aber die Symptome passen zu dieser Möglichkeit.

Unten ist ein Log-Snippet.
Ich bin sicher, dass die Leute bekannte Bugs, die Sicherheitsrisiken darstellen, verschleiert halten wollen.

Entsprechen die untenstehenden Protokolle bekannten Anzeichen eines Kompromisses?

Jeder Gedanke ist willkommen. Danke!

discourse 202209101878×165 64.1 KB

Sie können sich /var/discourse/shared/standalone/log/var-log/nginx/access.log ansehen (wenn ich mich richtig erinnere und tippen kann). Und dort nachsehen, ob Sie viel Traffic haben.

Es ist unwahrscheinlich, dass Ihr Problem durch einen Sicherheitsfehler bei Discourse verursacht wird.

Ich hatte einmal ein ähnliches Problem, das durch einen DDoS-Angriff auf SSH verursacht wurde.

Vielen Dank!

Erzählen Sie uns mehr über Ihr Setup. Ist es eine Standardinstallation? Betreiben Sie Postgres und Redis auf einem anderen Host, vielleicht auf verwalteten Instanzen von AWS?

Eine ganz normale Installation, wie sie nur sein kann, unterstützt von AWS Lightsail.