太难受了,初步分析应该是从 halo 黑进来的
Master 密码应该没有泄露,请问有多大的风险。
黑客是否能够从数据库里得到我所有的明文密码?
1
wiken 2023-04-27 11:07:05 +08:00
数据库里的存的应该都是用你的主密码加密过的, 不会直接拿到明文
|
2
LxnChan 2023-04-27 11:09:11 +08:00
halo 是存在什么漏洞吗,我有个站也在用,突然就想关了🤣
|
3
wowawesome 2023-04-27 11:10:36 +08:00
不会是 Log4j ?
|
4
emberzhang 2023-04-27 11:15:07 +08:00
怎么发现被黑的
|
5
documentzhangx66 2023-04-27 11:17:53 +08:00
有服务没经过防火墙、WAF 以及地区白名单,就直接对公网开放了吧?
|
6
kiritoyui 2023-04-27 11:21:39 +08:00
服务器只开 22 80 443 端口,所有服务都是 docker 启动,caddy 反带,这样应该安全一点
|
7
goodryb 2023-04-27 11:23:42 +08:00
从官方的说明上来说应该不会 https://help.ppgg.in/security/storage
摘要: 在将任何内容发送到云服务器进行存储之前,Bitwarden 始终会在本地设备上加密和 /或哈希数据。Bitwarden 服务器仅用于存储已被加密的数据。有关更多信息,请参阅加密。 存储在您的计算机 /设备上的数据是被加密的,并且仅当您解锁您的密码库时才会被解密。被解密的数据仅存储在内存中,并且永远不会被写入到持久存储。 |
8
yfugibr 2023-04-27 11:26:14 +08:00 via Android
我唯一能想到的风险是,web 端被篡改的话,有可能会在登录网页端的时候被上报主密码(客户端和浏览器插件的逻辑是本地写死的不用担心)
|
10
0o0O0o0O0o 2023-04-27 11:28:43 +08:00 via iPhone
只要你没使用过 web 版本(防止被篡改 web 页面),并且是较新版本的 vaultwarden ( KDF iterations ),那理论上就是安全的
|
11
nosay OP |
12
AubreyWang 2023-04-27 11:31:04 +08:00
?怎么就初步分析是 halo 了,我想康康咋分析的,学习学习
|
13
serialt 2023-04-27 11:33:40 +08:00
推荐一下,password-store ,gpg 加密 git 本地存储
|
14
AubreyWang 2023-04-27 11:34:53 +08:00
@AubreyWang 不过有可能咱们说的不是一个 halo ,😄
|
15
nosay OP @AubreyWang 用它搭博客的。通过官方文档在服务器单独建立一个 halo 用户,用来跑 jar 包。被黑后发现,halo 用户 authorized_keys 文件里多了一条入侵者公钥。因为除了 bitwarden 和 halo ,没跑别的服务,所以就比较怀疑是通过 halo 入侵进来的
|
16
liuidetmks 2023-04-27 11:55:11 +08:00
如果你的密码不复杂,还是能恢复的,bitwarden 用的 pbkdf2 sha256 ,现在矿机这么厉害,算 sha256 玩一样。 pbkdf2 现在有点过时了
|
17
churchmice 2023-04-27 12:07:59 +08:00 via Android
@liuidetmks 还真不是,pbkdf2 设计的初衷就是耗 cpu 耗内存,矿机还真干不了这个 1 事情
|
18
liuidetmks 2023-04-27 14:05:03 +08:00 1
@churchmice pbkdf2 并没有使用很多内存 ,https://zh.wikipedia.org/wiki/PBKDF2 PBKDF2 的一个缺点是,尽管可以通过改变迭代次数来任意调整所需的计算时间,但它可以用一个小电路和很少的 RAM 来实现,这使得使用特殊应用集成电路( ASIC )或图形处理器( GPU )进行暴力攻击相对低廉...
|
19
SenLief 2023-04-27 17:19:47 +08:00
Bitwarden 最好还是不开 web 端,我之前也用 Bit 后面觉得不太安全,还是用 enpass 了。
|
20
hronro 2023-04-27 17:33:18 +08:00
vaultwarden + Cloudflare Tunnel ,我的服务器上没暴露任何端口,SSH/HTTP/HTTPS 这些端口都没暴露,这一套操作下来,如果还能被黑,那我也认了。
|
21
antian 2023-04-28 01:34:30 +08:00
吓的我赶紧去看一下我的服务器端口
|
22
xuanbg 2023-04-28 09:08:05 +08:00 1
服务器上除了 80 和 443 ,其他端口都要有 IP 白名单。然后服务都容器化,即使利用漏洞入侵,也只能在容器里面打转,并不能破坏你的其他服务和数据。
|