LINUX.ORG.RU

Крадут пароль от сервера баз данных


0

4

Здравствуйте. Есть сервер, на нём хостятся люди, регистрация свободная. Какой-то нехороший человек, на сервере запускает скрипт, получает root пароль от базы данных, заходит через phpmyadmin и делает пакости. Напакостит и скрипт удаляет за собой.

Как от этого защититься ?

отключи рут пароль

BaBL ★★★★★ ()

нанять квалифицированного работника, очевидно

anonymous ()
Ответ на: комментарий от beastie

на сколько я понял в debian 6 64x эта уязвимость не работает. Пытаюсь найти ещё что-то. А вредитель сейчас ломает всё время phpmyadmin (вылетает с ошибками), каким-то образом внутрь папки phpmyadmin попадает файл .travis.yml с содержимым

language: php php: - «5.4» - «5.3» before_script: ./scripts/generate-mo --quiet script: phpunit --configuration phpunit.xml.nocoverage

rokmail ()
Ответ на: комментарий от rokmail

А вредитель сейчас ломает всё время phpmyadmin (вылетает с ошибками)

Какими именно ошибками?

И вообще если хочешь чтобы тебе помогли - выкладывай логи куда что заливается, используется ли пароль root где то на сервере и зачем тебе нужен общий phpmyadmin.

каким-то образом внутрь папки phpmyadmin попадает файл .travis.yml с содержимым

Этот файл часть phpmyadmin.

winddos ★★★ ()
Ответ на: комментарий от winddos

Вот с такой ошибкой вылетает $cfg['Servers'][1] = array( 'verbose' => 'MySQL', 'auth_type' => 'cookie', 'host' => 'localhost', 'user' => " );

Общий доступ phpmyadmin нужен, так как служит в виде хостинга для студентов института.

У меня стоит mysql 5.1.66 на 5.5 не могу обновить так как php 5.3 надо. Хочу обновить до 5.1.7 но не пойму как это сделать не удаляя полностью 5.1.66 (баз данных много) и не нужно было пересобирать php

rokmail ()
Ответ на: комментарий от rokmail

А это то что делает вредитель auth - авторизируется file.attr - добавляет файл file.extract - распаковывает Видно тут запускает через браузер и выполняет скрипт file.delete - удаляет

После этого идёт в БД и начинает ломать базы данных от сайтов

rokmail ()

Вычисли его по айпи и пожалуйся его провайдеру. Ну а так-то если у тебя любой желающий может на сервере запустить скрипт - ты явно что-то сделал не так.

fragmentor ()
Ответ на: комментарий от fragmentor

Информацию я уже по нему собрал. Но тут сервер бы настроить, он вышел на связь показал пароли от БД, что пишутся в конфигах сайтов. То есть доступ он получил по SSH Порт ранее был нестандартный для входа. В данный момент я закрыл вход в SSH с root , Что бы ещё сделать?

rokmail ()
Ответ на: комментарий от rokmail

Что бы ещё сделать?

У тебя разные пользователи случайно не имеют общий апач/php?

winddos ★★★ ()
Ответ на: комментарий от bhfq

Все пользователи в виртуалхостах в одном файле apache2 или как нужно определить общий апач или нет? Пароль очень сложный и меняю всё время. Fail2ban не станет так как я на VPS. Авторизация по SSH ключам (не знаю как это) но сейчас авторизация по root отключена.Это его не остановило, он снова зашёл на сервер, под пользователем nobody и удалил несколько файлов и баз данных от 2 разных пользователей. Авторизации nobody в логах SSH нету. Это нашёл в логах ISPmanager

rokmail ()

Посмотреть логи apache, рута, ISP. Возможно есть смысл посмотреть bash_history.Посмотреть наличие левых файлов. В общем найти уязвимость. Если никак - ловить на живца, переустановить все, поставить мониторинги, модули защиты и ждать пока добрый человек спалится как-нибудь.

Erfinder ()
Ответ на: комментарий от Erfinder

В апаче есть что он запускает файл photos.php - что там неизвестно, он его удаляет.

В логах isp вот

nobody auth username=root&password=*&theme=sirius&lang=ru&func=auth

nobody auth username=vjm159&password=*&func=auth&checkcookie=no

nobody auth username=anthony&password=*&theme=sirius&lang=ru&func=auth

У всех пользователей которых авторизирорвался удалил файлы и базы данных.

Пытаюсь найти как сделать за место nobody нормального пользователя.

rokmail ()
Ответ на: комментарий от rokmail

просто так ниоткуда ничего не появляется - смотри где запускает и как могло попасть.(Дай угадаю, залил как картинку?). И проверь права директории сайта или что там у вас.

Erfinder ()
Ответ на: комментарий от Erfinder

Да, заливает он fivicon.ico и photos.php это выполняет и получает доступ к root После изучения материала по безопасности, сделал дополнения, полатал дыры, нашёл несколько слабых мест, закрыл. Надеюсь защитился. Жду следующего варварского набега.

rokmail ()
Ответ на: комментарий от Erfinder

После моих дополнений по защите снова был набег варвара. Он мне прислал сообщение, что смена прав на конфигурационных файлах сайта до 444 и 400 мне не поможет. Но после просидел он на сервере часов 5 и не смог ничего сломать. Меня это радует. Но я так и не понял, как он шарился по файлам, почему его не видит SSH и FTP как пользователя при запросе из putty. Каким образом он узнал права на файлы конфигов сайтов. А в логах видел его одну и ту же процедуру, как в прошлый раз, авторизация в ISP, залив файл php - его выполнение, и удаление файла php (на всё 15 мин)

rokmail ()
Ответ на: комментарий от rokmail

Он залил шелл, увидел что все печально и ушел. Ищи бэкдоры и уязвимости.

Erfinder ()

Какой-то нехороший человек, на сервере запускает скрипт
Как от этого защититься?

SELinux или tomoyo защитят от выполнения неожиданных действий непонятно кем.

shahid ★★★★★ ()

на нём хостятся люди

Welcome to the MATRIX :-)

Infra_HDC ★★★★★ ()
Ответ на: комментарий от DinoAsm

Может быть и эта проблема была, так как ядро 2.6.32 но после улучшения защиты больше не тревожат.

rokmail ()

По сообщениям очевидцев: данный горе-админ (в данном квесте) сам делает это, когда напьется.

avpetrovskiy ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.