LINUX.ORG.RU
ФорумAdmin

Есть мысли по взлому?


1

1

Сейчас отловил процесс mysqldump'а на базе форума. С прямым указанием -uroot и -p. Беглое исследование логов показало, что на старом движке форума (punbb) была классическая дырка с загрузкой *.php в виде аватара. Через что и был залит простенький бэкдор, позволяющий исполнять eval на PHP.

Это-то дело я убрал, дырку заткнул, пароль поменял, пароли пользователей в БД, к счастью, с солью захешированы, а приватная информация ценности не несёт. Так что проблемы особой нет.

Но мне интересно, как юзер узнал рутовый mysql-пароль. Хранился он только в /root/.my.cnf, у /root права 0700, у .my.cnf — 0600. Веб-сервер работает от отдельного юзера, процесс mysqldump'а шёл тоже от юзера.

Есть мысли?

★★★★★

Ядрышко старое, local root exploit?

iab ()
Ответ на: комментарий от iab

А, блин, позор мне. Походу, ларчик просто открывался. Рутовый mysql-пароль открытым текстом был в некоторых старых /usr/local/bin скриптах. В .my.cnf его перекинул, новые без указания пароля работают, а старые — остались. Видимо, там автор и пошукал.

Даже удивительно, что ломанули так первый раз за последних лет 7. Последние взломы были ещё во времена насквозь дырявого форума SMF.

Ядро сейчас 3.3.8 стоит, всё не рискну без IP-KVM его обновить :)

KRoN73 ★★★★★ ()
Ответ на: комментарий от hizel

Хм. Придётся алгоритмы на тяжеловесные менять :) Прогресс, блин…

KRoN73 ★★★★★ ()
Ответ на: комментарий от KRoN73

Горе вы администратор, смотрю ))

Я ядро обновлять надо - на LTS (RHEL/Debian) можно не глядя.

iab ()
Ответ на: комментарий от hizel

у него там аргуменатция типа - соль == уг

Deleted ()

KRoN73

...пароли пользователей в БД, к счастью, с солью захешированы...

Очень желательно, чтобы соль была уникальной для каждого пароля.

Cypher ()
Ответ на: комментарий от Cypher

Очень желательно, чтобы соль была уникальной для каждого пароля.

Само собой. Только, как пишут по ссылке выше, это уже не особо помогает :)

Придётся воспользоваться советами с http://habrahabr.ru/post/159043/

KRoN73 ★★★★★ ()
Ответ на: комментарий от KRoN73

KRoN73

Только, как пишут по ссылке выше, это уже не особо помогает :)

Я применяю crypt( $password, '$2y$07$' . $salt )
Кстати, последние 4 бита соли не используются, обнуляются crypt'ом.

Cypher ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.