惨,服务器被黑,里面有自建 bitwarden 服务

2023-04-27 11:03:33 +08:00
 nosay

太难受了,初步分析应该是从 halo 黑进来的

Master 密码应该没有泄露,请问有多大的风险。

黑客是否能够从数据库里得到我所有的明文密码?

6558 次点击
所在节点    程序员
22 条回复
wiken
2023-04-27 11:07:05 +08:00
数据库里的存的应该都是用你的主密码加密过的, 不会直接拿到明文
LxnChan
2023-04-27 11:09:11 +08:00
halo 是存在什么漏洞吗,我有个站也在用,突然就想关了🤣
wowawesome
2023-04-27 11:10:36 +08:00
不会是 Log4j ?
emberzhang
2023-04-27 11:15:07 +08:00
怎么发现被黑的
documentzhangx66
2023-04-27 11:17:53 +08:00
有服务没经过防火墙、WAF 以及地区白名单,就直接对公网开放了吧?
kiritoyui
2023-04-27 11:21:39 +08:00
服务器只开 22 80 443 端口,所有服务都是 docker 启动,caddy 反带,这样应该安全一点
goodryb
2023-04-27 11:23:42 +08:00
从官方的说明上来说应该不会 https://help.ppgg.in/security/storage

摘要:

在将任何内容发送到云服务器进行存储之前,Bitwarden 始终会在本地设备上加密和 /或哈希数据。Bitwarden 服务器仅用于存储已被加密的数据。有关更多信息,请参阅加密。


存储在您的计算机 /设备上的数据是被加密的,并且仅当您解锁您的密码库时才会被解密。被解密的数据仅存储在内存中,并且永远不会被写入到持久存储。
yfugibr
2023-04-27 11:26:14 +08:00
我唯一能想到的风险是,web 端被篡改的话,有可能会在登录网页端的时候被上报主密码(客户端和浏览器插件的逻辑是本地写死的不用担心)
nosay
2023-04-27 11:27:12 +08:00
@wiken
@goodryb
@kiritoyui 感谢大佬解惑
0o0O0o0O0o
2023-04-27 11:28:43 +08:00
只要你没使用过 web 版本(防止被篡改 web 页面),并且是较新版本的 vaultwarden ( KDF iterations ),那理论上就是安全的
nosay
2023-04-27 11:30:13 +08:00
@wowawesome 有可能
@LxnChan
@emberzhang 觉得只跑一个 bitwarden 性能有点浪费,就又跑了一个 halo ,时间一长,就忘了。缺少安全意识,太大意了。
AubreyWang
2023-04-27 11:31:04 +08:00
?怎么就初步分析是 halo 了,我想康康咋分析的,学习学习
serialt
2023-04-27 11:33:40 +08:00
推荐一下,password-store ,gpg 加密 git 本地存储
AubreyWang
2023-04-27 11:34:53 +08:00
@AubreyWang 不过有可能咱们说的不是一个 halo ,😄
nosay
2023-04-27 11:47:49 +08:00
@AubreyWang 用它搭博客的。通过官方文档在服务器单独建立一个 halo 用户,用来跑 jar 包。被黑后发现,halo 用户 authorized_keys 文件里多了一条入侵者公钥。因为除了 bitwarden 和 halo ,没跑别的服务,所以就比较怀疑是通过 halo 入侵进来的
liuidetmks
2023-04-27 11:55:11 +08:00
如果你的密码不复杂,还是能恢复的,bitwarden 用的 pbkdf2 sha256 ,现在矿机这么厉害,算 sha256 玩一样。 pbkdf2 现在有点过时了
churchmice
2023-04-27 12:07:59 +08:00
@liuidetmks 还真不是,pbkdf2 设计的初衷就是耗 cpu 耗内存,矿机还真干不了这个 1 事情
liuidetmks
2023-04-27 14:05:03 +08:00
@churchmice pbkdf2 并没有使用很多内存 ,https://zh.wikipedia.org/wiki/PBKDF2 PBKDF2 的一个缺点是,尽管可以通过改变迭代次数来任意调整所需的计算时间,但它可以用一个小电路和很少的 RAM 来实现,这使得使用特殊应用集成电路( ASIC )或图形处理器( GPU )进行暴力攻击相对低廉...
SenLief
2023-04-27 17:19:47 +08:00
Bitwarden 最好还是不开 web 端,我之前也用 Bit 后面觉得不太安全,还是用 enpass 了。
hronro
2023-04-27 17:33:18 +08:00
vaultwarden + Cloudflare Tunnel ,我的服务器上没暴露任何端口,SSH/HTTP/HTTPS 这些端口都没暴露,这一套操作下来,如果还能被黑,那我也认了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/935857

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX