Почему раз в месяц из таблицы БД могут удаляться строки? Как найти дыру?

Question

[Александр]

Приветствую!
У меня есть самописный проект на mysql и php.
Раз в месяц примерно в один и тот же день (+- 1-2 дня) в одной из важных таблиц в БД удаляется часть строк.
Заметил, что это строки из начала таблицы. Всегда одни и те же: с 1 по 3397.
Проверил КРОН - ничего подозрительного не нашел.
Подскажите, куда копать? Как найти "дыру"?
Не имею опыта в этом деле, спасибо!

Comments

[Кирилл Пензин]

Покажите для начала список задач крона и скрипты, которые выполняют это.

[Кирилл Пензин]

Также, неплохо было бы знать, что у вас со свободной памятью на сервере. И количество строк в таблице, маловероятно, что вы выходите за пределы, но всё же.

[Александр]

Сейчас разбираю логи, нашел такие подозрительные строки:
"UPDATE city SET view='18495' WHERE id = '6 and ascii(substring((database()),7,1))<103'"
"UPDATE city SET view='18491' WHERE id = '6 and Length((database()))<32'"
"UPDATE city SET view='18511' WHERE id = '6 and Length((select distinct table_name from `information_schema`.tables where table_schema=0x73756E74696D65 limit 0,1))<32'"

[Александр]

Кирилл Пензин: строк не много, около 6000, в этой таблице. Память свободная есть.

[Александр]

Кирилл Пензин: в кроне только один простой скрипт висит, выполняющийся каждую минуту. Он не может влиять.

[Кирилл Пензин]

Александр: Вам про экранирование уже написали. Вы учитывали это при получении данных извне?

[Александр]

Кирилл Пензин: За годы там столько запросов собралось, что может где-то и упустил экранирование. Пойду все проверять. Спасибо.

[Макс]

Экранировать надо и использовать pdo!

Answer 1

[Андрей]

Можно проверить код и проанализировать все запросы, начинающиеся с DELETE, и вычислить, при каких условиях в данном коде они могут выполняться так, чтобы совпадало с проявляемой проблемой.
Сами по себе строки удаляться не могут, поэтому их точно что-то удаляет. А раз так, то проблема должна быть где-то на поверхности

Answer 2

[Rodion]

Imho, можно включить журналирование запросов и сразу будет видно кто и каким запросом удалили какие данные -

Answer 3

[Андрей Мохов]

вопрос однозначно рассчитан на телепатов...
проверить кроны других пользователей системы, смотреть логи апача, ковырять логику системы

Comments

[Александр]

Логи смотрю., там много подобных строк:
SELECT * FROM city WHERE id=6 and ascii(substring((database()),6,1))<103
UPDATE city SET view='18511' WHERE id = '6 and Length((select distinct table_name from `information_schema`.tables where table_schema=0x73756E74696D65 limit 0,1))<32'
Я понял уже, что нужно перепроверить все запросы, и жестко проверять входящие данные на "число/не число". Но хочу понять, что злоумышленник хотел этими запросами сделать?

Answer 4

[d'Ivan]

На мой взгляд, порядок должен быть таким:

1. Сначала нужно знать права доступа всех пользователей к MySQL
select * from information_schema.user_privileges;

2. Чтобы действовать наверняка, стоит сменить пароль пользователя (надеюсь используется не root)
Пользователь БД, который попытается подключиться в очередной раз несанкционированным образом, получит облом.

3. Ограничение доступа пользователям к MySQL
В идеале, пользователь, с которым программа подключается к БД, должен иметь полномочия лишь необходимые для корректной работы. Ограничить можно как по сетевому адресу хоста, указав статический IP адрес, а не маску "%". Также можно ограничить доступ пользователя к MySQL начиная с частной БД (database/schema) до уровня отдельных таблиц и даже колонок.
2.12.4 Securing the Initial MySQL Accounts

4. Как уже посоветовали ранее, нужно найти в программе все запросы DELETE.
В добавок обратить внимание на историю команд в mysql_history

5. Неплохо ещё бы проконсультироваться с экспертами в данной БД.

Answer 5

[Михаил Есенин]

Первое - это проанализировать логи. Возможно, увидишь запросы, через которые некие злоумышленники пытаются тебя взломать, а результатов является удаление данных. По журналированию запросов выше также дали хороший совет.

Так как проект самописный, то его необходимо обязательно проверять на уязвимости. Как минимум, сканером кода вроде AI-Bolit, и на дыры снаружи с помощью онлайн-инструментов вроде detectify.com, metascan.ru.

Ограничить, конечно же, права на удаление. И сменить на всякий случай доступы, вдруг кто-то периодически заходит к тебе и удаляет данные? ;)