V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
nosay
V2EX  ›  程序员

惨,服务器被黑,里面有自建 bitwarden 服务

  •  
  •   nosay · 2023-04-27 11:03:33 +08:00 · 6464 次点击
    这是一个创建于 568 天前的主题,其中的信息可能已经有所发展或是发生改变。

    太难受了,初步分析应该是从 halo 黑进来的

    Master 密码应该没有泄露,请问有多大的风险。

    黑客是否能够从数据库里得到我所有的明文密码?

    22 条回复    2023-04-28 09:08:05 +08:00
    wiken
        1
    wiken  
       2023-04-27 11:07:05 +08:00
    数据库里的存的应该都是用你的主密码加密过的, 不会直接拿到明文
    LxnChan
        2
    LxnChan  
       2023-04-27 11:09:11 +08:00
    halo 是存在什么漏洞吗,我有个站也在用,突然就想关了🤣
    wowawesome
        3
    wowawesome  
       2023-04-27 11:10:36 +08:00
    不会是 Log4j ?
    emberzhang
        4
    emberzhang  
       2023-04-27 11:15:07 +08:00
    怎么发现被黑的
    documentzhangx66
        5
    documentzhangx66  
       2023-04-27 11:17:53 +08:00
    有服务没经过防火墙、WAF 以及地区白名单,就直接对公网开放了吧?
    kiritoyui
        6
    kiritoyui  
       2023-04-27 11:21:39 +08:00
    服务器只开 22 80 443 端口,所有服务都是 docker 启动,caddy 反带,这样应该安全一点
    goodryb
        7
    goodryb  
       2023-04-27 11:23:42 +08:00
    从官方的说明上来说应该不会 https://help.ppgg.in/security/storage

    摘要:

    在将任何内容发送到云服务器进行存储之前,Bitwarden 始终会在本地设备上加密和 /或哈希数据。Bitwarden 服务器仅用于存储已被加密的数据。有关更多信息,请参阅加密。


    存储在您的计算机 /设备上的数据是被加密的,并且仅当您解锁您的密码库时才会被解密。被解密的数据仅存储在内存中,并且永远不会被写入到持久存储。
    yfugibr
        8
    yfugibr  
       2023-04-27 11:26:14 +08:00 via Android
    我唯一能想到的风险是,web 端被篡改的话,有可能会在登录网页端的时候被上报主密码(客户端和浏览器插件的逻辑是本地写死的不用担心)
    nosay
        9
    nosay  
    OP
       2023-04-27 11:27:12 +08:00
    @wiken
    @goodryb
    @kiritoyui 感谢大佬解惑
    0o0O0o0O0o
        10
    0o0O0o0O0o  
       2023-04-27 11:28:43 +08:00 via iPhone
    只要你没使用过 web 版本(防止被篡改 web 页面),并且是较新版本的 vaultwarden ( KDF iterations ),那理论上就是安全的
    nosay
        11
    nosay  
    OP
       2023-04-27 11:30:13 +08:00
    @wowawesome 有可能
    @LxnChan
    @emberzhang 觉得只跑一个 bitwarden 性能有点浪费,就又跑了一个 halo ,时间一长,就忘了。缺少安全意识,太大意了。
    AubreyWang
        12
    AubreyWang  
       2023-04-27 11:31:04 +08:00
    ?怎么就初步分析是 halo 了,我想康康咋分析的,学习学习
    serialt
        13
    serialt  
       2023-04-27 11:33:40 +08:00
    推荐一下,password-store ,gpg 加密 git 本地存储
    AubreyWang
        14
    AubreyWang  
       2023-04-27 11:34:53 +08:00
    @AubreyWang 不过有可能咱们说的不是一个 halo ,😄
    nosay
        15
    nosay  
    OP
       2023-04-27 11:47:49 +08:00   ❤️ 1
    @AubreyWang 用它搭博客的。通过官方文档在服务器单独建立一个 halo 用户,用来跑 jar 包。被黑后发现,halo 用户 authorized_keys 文件里多了一条入侵者公钥。因为除了 bitwarden 和 halo ,没跑别的服务,所以就比较怀疑是通过 halo 入侵进来的
    liuidetmks
        16
    liuidetmks  
       2023-04-27 11:55:11 +08:00
    如果你的密码不复杂,还是能恢复的,bitwarden 用的 pbkdf2 sha256 ,现在矿机这么厉害,算 sha256 玩一样。 pbkdf2 现在有点过时了
    churchmice
        17
    churchmice  
       2023-04-27 12:07:59 +08:00 via Android
    @liuidetmks 还真不是,pbkdf2 设计的初衷就是耗 cpu 耗内存,矿机还真干不了这个 1 事情
    liuidetmks
        18
    liuidetmks  
       2023-04-27 14:05:03 +08:00   ❤️ 1
    @churchmice pbkdf2 并没有使用很多内存 ,https://zh.wikipedia.org/wiki/PBKDF2 PBKDF2 的一个缺点是,尽管可以通过改变迭代次数来任意调整所需的计算时间,但它可以用一个小电路和很少的 RAM 来实现,这使得使用特殊应用集成电路( ASIC )或图形处理器( GPU )进行暴力攻击相对低廉...
    SenLief
        19
    SenLief  
       2023-04-27 17:19:47 +08:00
    Bitwarden 最好还是不开 web 端,我之前也用 Bit 后面觉得不太安全,还是用 enpass 了。
    hronro
        20
    hronro  
       2023-04-27 17:33:18 +08:00
    vaultwarden + Cloudflare Tunnel ,我的服务器上没暴露任何端口,SSH/HTTP/HTTPS 这些端口都没暴露,这一套操作下来,如果还能被黑,那我也认了。
    antian
        21
    antian  
       2023-04-28 01:34:30 +08:00
    吓的我赶紧去看一下我的服务器端口
    xuanbg
        22
    xuanbg  
       2023-04-28 09:08:05 +08:00   ❤️ 1
    服务器上除了 80 和 443 ,其他端口都要有 IP 白名单。然后服务都容器化,即使利用漏洞入侵,也只能在容器里面打转,并不能破坏你的其他服务和数据。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1126 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 23:27 · PVG 07:27 · LAX 15:27 · JFK 18:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.