Взлом хостинга, как найти источник SQL-запросов?

Question

[ozzzi]

Что имеем: VDS на базе Debian
На сайте были обнаружены баннеры. Просмотр логов показал, что проникновение произошло по SSH: Accepted publickey. Это отдельный вопрос, как атакующий залогинился по ключу. Доступ со сторонних IP был закрыт, больше по SSH, ни по FTP никто не входил. В результате поисков (по eval, base64 и т.д.) были найдены шелл-скрипты (даже ссылками на авторов в Github). Они были благополучно удалены, но несмотря на это в одну из баз стали сыпаться SQL-запросы, вставляющие JS-код с редиректами. Поиск еще каких-то "левых" скриптов ни к чему не привел, сканеры типа ai-bolit и Манул, ничего толкового не показали, изучение логов доступа тоже ничего не дало. Запросы идут от локального юзера: user@localhost (удаленный доступ с левых ip закрыт к базе).

Вопрос: возможно ли узнать источник SQL-запросов, какой-нибудь вариацией mysql-proxy или как-то еще? Или в какую копать?

Answer 1

[DrunkMaster]

Левых скриптов может и не быть, может быть модифицирован один из ваших скриптов в который и была добавлена функция вставки в БД.
Надо посмотреть логи, даты модификации ваших файлов, в идеале всё почистить, файлы перезалить ssh временно отключить, базу регулярками почистить.

Доступ со сторонних IP был закрыт

Скорее всего либо ошибка в закрытии, либо открыт слишком большой диапазон, либо гипотетически если вы ходите через VPN хакер завладел доступом к VPN и с его ip зашёл на сервер что маловероятно.

Comments

[ozzzi]

Файлы существующие, естественно проверялись и даты изменения смотрели. Специалисты одной компании советуют менять сервер, т.к. был уведен ключ и найти все установленное злоумышленником будет нереально. Хотя уведенный ключ был не от рута.

Или просто переустановить ПО?

[DrunkMaster]

ozzzi: Пфф, даже не знаю, если был уведён ключ и если предположить что запрет доступа по ip действительно работает как надо, то я бы попробовал просто переключиться с ключа на доступ по паролю, к тому же если не от рута пароль то под ним можно менять пароли сколько нужно. Каким методом задаётся ограничение по ip - itptables или другим каким-то?

[ozzzi]

Запрет по ip был задан после того, как подключились. В конфигах (sshd_config для SSH)

[DrunkMaster]

ozzzi: В конфигах SSH не всегда работает, я сталкивался с таким, запрет перепроверялся вручную с других ip? Читайте vasilisc.com/21-examples-iptables вводите iptables -L -n -v вот у вас НЕ должно быть такого пустого неактивного файрвола

[red_line_nes]

DrunkMaster: судя по тому, что он пишет, то на момент взлома доступ был с любого ип. Запретили уже когда заметили.

[DrunkMaster]

red_line_nes: да понятное дело что запрета не было или он не работал, т.к. подломать его а через него сервер крайне сложно

Answer 2

[Олег Клещук]

Лучше пересетапить всю систему.
В случае компрометации сервера можно так спрятаться, что концов уже не найти.

Answer 3

[StrongServer]

Есть вероятность того, что в системе остался веб-шелл (вот почему от user@localhost идет коннект в базу), которые айболит и манул не обнаружили, скажем закодированный веб-шелл.

Попробуйте поискать в системе новые файлы, появившиеся в системе недавно/со времени предполагаемого взлома, ну а потом посмотреть внутрь этих файлов.