惨，服务器被黑，里面有自建 bitwarden 服务

数据库里的存的应该都是用你的主密码加密过的, 不会直接拿到明文

halo 是存在什么漏洞吗，我有个站也在用，突然就想关了🤣

不会是 Log4j ？

怎么发现被黑的

有服务没经过防火墙、WAF 以及地区白名单，就直接对公网开放了吧？

服务器只开 22 80 443 端口，所有服务都是 docker 启动，caddy 反带，这样应该安全一点

从官方的说明上来说应该不会 https://help.ppgg.in/security/storage

摘要：

在将任何内容发送到云服务器进行存储之前，Bitwarden 始终会在本地设备上加密和 /或哈希数据。Bitwarden 服务器仅用于存储已被加密的数据。有关更多信息，请参阅加密。


存储在您的计算机 /设备上的数据是被加密的，并且仅当您解锁您的密码库时才会被解密。被解密的数据仅存储在内存中，并且永远不会被写入到持久存储。

我唯一能想到的风险是，web 端被篡改的话，有可能会在登录网页端的时候被上报主密码（客户端和浏览器插件的逻辑是本地写死的不用担心）

@wiken
@goodryb
@kiritoyui 感谢大佬解惑

只要你没使用过 web 版本（防止被篡改 web 页面），并且是较新版本的 vaultwarden （ KDF iterations ），那理论上就是安全的

@wowawesome 有可能
@LxnChan
@emberzhang 觉得只跑一个 bitwarden 性能有点浪费，就又跑了一个 halo ，时间一长，就忘了。缺少安全意识，太大意了。

?怎么就初步分析是 halo 了，我想康康咋分析的，学习学习

推荐一下，password-store ，gpg 加密 git 本地存储

@AubreyWang 不过有可能咱们说的不是一个 halo ，😄

@AubreyWang 用它搭博客的。通过官方文档在服务器单独建立一个 halo 用户，用来跑 jar 包。被黑后发现，halo 用户 authorized_keys 文件里多了一条入侵者公钥。因为除了 bitwarden 和 halo ，没跑别的服务，所以就比较怀疑是通过 halo 入侵进来的

如果你的密码不复杂，还是能恢复的，bitwarden 用的 pbkdf2 sha256 ，现在矿机这么厉害，算 sha256 玩一样。 pbkdf2 现在有点过时了

@liuidetmks 还真不是，pbkdf2 设计的初衷就是耗 cpu 耗内存，矿机还真干不了这个 1 事情

@churchmice pbkdf2 并没有使用很多内存 ，https://zh.wikipedia.org/wiki/PBKDF2 PBKDF2 的一个缺点是，尽管可以通过改变迭代次数来任意调整所需的计算时间，但它可以用一个小电路和很少的 RAM 来实现，这使得使用特殊应用集成电路（ ASIC ）或图形处理器（ GPU ）进行暴力攻击相对低廉...

Bitwarden 最好还是不开 web 端，我之前也用 Bit 后面觉得不太安全，还是用 enpass 了。

vaultwarden + Cloudflare Tunnel ，我的服务器上没暴露任何端口，SSH/HTTP/HTTPS 这些端口都没暴露，这一套操作下来，如果还能被黑，那我也认了。