Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
"GoDaddy-Datenpanne betrifft 1,2 Millionen WordPress-Kunden"
--> siehe dazu auch [1]
Zugriff auf (Info laut heise.de)
- E-Mail-Adressen
- Kundennummern von aktiven und inaktiven Managed WordPress-Kunden
- das ursprüngliche WordPress-Admin- Passwort (hat GoDaddy den Kunden bei der Erstellung einer Website schickt;
- bei aktiven Kunden wurden zudem sFTP- und Datenbank-Benutzernamen und -Kennwörter offengelegt
- bei einem Teil aktiver Kunden darüber hinaus der private SSL-Schlüssel
==> Wer also dort Kunde ist bitte Daten prüfen, besser noch (auch prophylaktisch)
ändert (bspw. TLS-Schlüssel). Hier gilt nantürlich auch, dass ein verwendetes
und potentiell offen gelegtes Passwort als verbraucht anzusehen ist.
VG
Bernd
[0]
https://heise.de/-6274187
[1]
https://techcrunch.com/2021/11/22/godaddy-breach-million-accounts/
--
Bernd Kohler
IT Center
Abteilung: Netze
RWTH Aachen University
Wendlingweg 10
52074 Aachen
Tel: +49 241 80-29793
Fax: +49 241 80-22666
kohler(a)itc.rwth-aachen.de
www.itc.rwth-aachen.de
Social Media Kanäle des IT Centers:
https://blog.rwth-aachen.de/itc/https://www.facebook.com/itcenterrwthhttps://www.linkedin.com/company/itcenterrwthhttps://twitter.com/ITCenterRWTHhttps://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ
Hallo,
da wir mittlerweile recht erfolgreich sind, im eduroam und VPN
per Deep Inspection und Virenscanning Schadsoftwarezugriffe
zu detektieren und zu unterbinden, habe ich dies für die ausgehenden
HTTP Requests von Clients für die ganze Hochschule ebenfalls
um ca. 20:08 aktiviert.
In eduroam und VPN machen wir das für den gesamten Traffic,
hier will ich mit der auf HTTP (aka TCP/80) beschränkten
Maßnahme erst mal die Lastzustände
a) auf den Firewalls
b) bei mir (wg. Alarmen, der erste ist schon da)
c) bei Euch (wg. E-Mails vom SOC)
studieren.
Ich denke mal, dass wir die meisten false positives in den
letzten Jahre aussortiert haben, sollte es Probleme geben,
E-Mail mit Zeitpunkt, Quell- und Ziel-IP (ggf. URL) an unser
Servicedesk schicken.
Gruß, Jens Hektor
Gute Tageszeit,
der AStA hostet eine eigene GitLab-Instanz. Diese ist direkt per LDAP
an unser Accountsystem angebunden, sprich man loggt sich per Username
und Passwort dort ein (im Gegensatz zum Shibboleth bei
git(-ce).rwth-aachen.de).
In letzter Zeit wurde ich von Usern vermehrt darauf hingewiesen, dass
diese eine Mail mit “Unlock Instructions” bekommen hätten:
> Your GitLab account has been locked due to an excessive number of
> unsuccessful sign in attempts. You can wait for your account to
> automatically unlock in 10 minutes or you can click the link below to
> unlock now.
> […]
> If you did not initiate these sign-in attempts, please reach out to
> your administrator or enable two-factor authentication (2FA) on your
> account.
Da bekanntermaßen alle User sichere und pro Dienst jeweils
unterschiedliche Passwörter verwenden, muss ich mir hier ja keine Sorgen
machen. Ähm.
Kommt das jemandem bekannt vor? Habt ihr dagegen Maßnahmen ergriffen,
wenn ja welche?
Ich müsste mal schauen, ob ich da in den Logs was relevantes finde,
sodass man ggf. die üblichen verdächtigen IP-Adressbereiche sperren kann
(und User im Urlaub oder soin entsprechenden Bereichen auf das RWTH-VPN
verweisen) – das klingt doch nach einem Plan?
Viele Grüße,
Thomas
--
Fachschaft I/1 Mathematik/Physik/Informatik der RWTH Aachen
Thomas Schneider
Campus Mitte: Augustinerbach 2a, 52062 Aachen
Telefon: +49 241 80 94506
Informatikzentrum: Ahornstraße 55, Raum 2014, 52074 Aachen
Telefon: +49 241 80 26741
https://www.fsmpi.rwth-aachen.de