haxqer / confluence

The simplest docker file of Confluence. Support v8.9.6(latest) v9.0.3(latest) and v8.5.15(lts)
421 stars 220 forks source link

Confluence备份数据全部都被加了.L0CK3D后缀 #39

Closed youshaojun closed 12 months ago

youshaojun commented 1 year ago

docker-compose方式启动 image: haxqer/confluence:7.19.9 CVE-2023-22518 - Improper Authorization Vulnerability In Confluence Data Center and Server 备份数据全部都被加了.L0CK3D后缀 请问我应该如何恢复数据

haxqer commented 1 year ago

我也没遇到过这个情况,你可能需要去 confluence 提个 issue。

https://github.com/haxqer/confluence/issues/38#issuecomment-1813686149 我正在用的confluence的版本是 7.19.14,没有直接对外,是 需要同事手动改dns的内网穿透 + nginx auth 的方式。几乎不可能被攻击,除了被同事攻击,因为需要改特定的域名指向特定的ip,还需要知道 nginx auth 的账号密码。

你是通过这个方式备份的吗?(还是直接备份了数据库)

image
youshaojun commented 1 year ago

image 用的系统自动备份的, 备份的zip都被加了.L0CK3D, 不知道这个文件有可能恢复不o(╥﹏╥)o

zhangjianay commented 1 year ago

image 用的系统自动备份的, 备份的zip都被加了.L0CK3D, 不知道这个文件有可能恢复不o(╥﹏╥)o

不可恢复了,我今天也遇到了,还好前几天做了数据迁移,损失不大,现在我在想是要换一种替代品还是升级版本,这玩意儿无论什么版本都会有风险,除非你能一直升级

zhangjianay commented 1 year ago

image 用的系统自动备份的, 备份的zip都被加了.L0CK3D, 不知道这个文件有可能恢复不o(╥﹏╥)o

不可恢复了,我今天也遇到了,还好前几天做了数据迁移,损失不大,现在我在想是要换一种替代品还是升级版本,这玩意儿无论什么版本都会有风险,除非你能一直升级

https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html

haxqer commented 1 year ago

如果你能访问现在 confluence 系统的页面,是有个思路的。

前段时间,老领导让我尝试过用 爬虫爬取 confluence 页面的内容,想做个备份工具。后来发现有现成的开源的了,就没有继续了。 我晚点找下,晚点贴出来

haxqer commented 1 year ago

@zhangjianay @youshaojun

https://github.com/Virtomize/confluence-go-api

这个项目。 老领导 推荐给我的,我没有用过,但是肯定是可行的,和自己写爬虫的原理是一样的。

haxqer commented 1 year ago

如果还可以访问,还有一个思路,就是在 marketplace 里面找个迁移插件,用这个迁移插件迁移到新的系统中。

另外,新的系统一定要设置定时备份,防止类似的事情再次发生

zhangjianay commented 1 year ago

如果还可以访问,还有一个思路,就是在 marketplace 里面找个迁移插件,用这个迁移插件迁移到新的系统中。

另外,新的系统一定要设置定时备份,防止类似的事情再次发生

这个方法可行,但是不知道什么插件可以实现这种,爬虫的前提是页面可以访问,现在的情况是页面打不开的

youshaojun commented 1 year ago

谢谢, 已经通过之前保留的备份文件恢复了, 丢了一部分数据(可以接受), 看来还需要在系统备份的基础上额外做数据备份

voarsh2 commented 1 year ago

My advice for you all is to subscribe the the security alerts for Atlassian DC products - https://my.atlassian.com/email - they sent out the notification about this on 31st October 2023, (they gave time for people to patch, and they release more info) and then upgraded the severity to 10 OUT of 10, because they saw active exploitation - because people found out how to make use of the vulnerability. I patched on the 31st - ASAP..

If you choose to run vulnerable products, at least make sure your backups are not done at Confluence level - a virtual machine backup, etc. That is so that a similar issue can't encrypt network storage (if you move your backups elsewhere, as Confluence needs access to that network storage...)........

If you need specific advice on how to backup, I would need more information.


我给大家的建议是订阅 Atlassian DC 产品的安全警报 - https://my.atlassian.com/email - 他们于 2023 年 10 月 31 日发出了有关此问题的通知(他们给了人们时间来修补) 他们发布了更多信息),然后将严重性升级为 10 分(共 10 分),因为他们看到了积极的利用 - 因为人们发现了如何利用该漏洞。 我于 31 日修补 - 尽快..

如果您选择运行易受攻击的产品,至少确保您的备份不是在 Confluence 级别完成的 - 虚拟机备份等。这样,类似的问题就无法加密网络存储(如果您将备份移动到其他地方,例如 Confluence 需要访问该网络存储......)........

如果您需要有关如何备份的具体建议,我需要更多信息。

python-liuqingqing commented 12 months ago

image 我们ye'shi也是

voarsh2 commented 12 months ago

image 我们ye'shi也是

Google translate is probably not very good, but "So do we" is the output... which makes no sense. Can this issue be closed? Do you have EXTERNAL backups that aren't locked? / 谷歌翻译可能不是很好,但输出是“我们也是”……这毫无意义。 这个问题可以关闭吗? 您是否有未锁定的外部备份?