Могут ли взломать Mysql через открытый порт 3306?

Question

[Сергей Присяжнюк]

День добрый, о защите mysql знаю только о SQL инъекциях и о том что нужен норм пароль (что бы подобрать не смогли).
Недавно ко мне обратился старый друг он сказал что его сайт перестал работать. Я залез посмотрел и увидел, то чего я давно не видел:

To recover your lost Database and avoid leaking it: Send us 0.06 Bitcoin (BTC) to our Bitcoin address 1BLYhUDmnmVPVjcTWgc6gFT6DCYwbVieUD and contact us by Email with your Server IP or Domain name and a Proof of Payment. If you are unsure if we have your data, contact us and we will send you a proof. Your Database is downloaded and backed up on our servers. Backups that we have right now: avtorimi_d

Его взломали, удалили базу и загрузили туда свою базу. Где просили скинуть им денег, конечно у него был бекап и он все восстановил. Загуглив проблему я наткнулся на информацию о взломе хакерами многих БД.
И том что желательно это закрыть порт 3306. И теперь у меня вопрос Как можно взломать через порт ? Реально ли это и т.д.
Ребят интересно читать - большие полные ответы, всем спасибо всем добра)

Comments

[Евгений]

У него наверное еще лежит файлик в public доступе типа db.inc, в котором в открытом виде прописаны логин/пароль на базу...

[Сергей Присяжнюк]

Евгений, нет не каких файлов с логином и паролем которые можно посмотреть не было

Answer 1

[ThunderCat]

Во первых - откуда вы взяли что бд доступна снаружи? Есть конфиг от бд? 99,9% провайдеров закрывают доступ к бд снаружи, все работает только через локалхост.
Во вторых - гораздо проще поломать через код, чем брутить пассворды мускуля. читайте свежую статейку от пинтестера на хабре, много интересного узнаете.

Answer 2

[Adik Izat]

Не в порте дело, базу при просмотре сайта будет открывать любой пользователь. Ему же надо смотреть на какие-то посты и комментарий.
Просто, для безопасности от инъекции делайте проверки запросов. Организуйте свою систему запросов, чтобы сложно было взломать. Храните публичные файлы отдельно от приватных. Все скрипты по работе и обработке баз данных храните в приватной папке. А все что связано с пользовательской информацией храните в папке публичной.

Comments

[Сергей Присяжнюк]

Значит по открытому порту нельзя взломать ?

[uRoot]

Сергей Присяжнюк, брутить пароль можно

[Сергей Присяжнюк]

Давайте представим даже что взлом был через инъекцию, но как они смогли создать таблицу со своим названием и со своими столбцами ?
Или можно прописать типо
SELECT * FROM Customers where page=1
И вместо 1 пользователь может ввести такую инъекцию которая удалит или создаст таблицу?

[Сергей Присяжнюк]

CryNet, грубо говоря можно с помощью программы nmap узнать открытые порты, (я не знаю даст ли она имя пользователя, подскажите если знаете)
И потом просто перебирать пароли.

[Сергей Присяжнюк]

CryNet, а сервера не будут на частые запросы орать ?

[Adik Izat]

Сергей Присяжнюк, взломать по порту можно. Но со стороны взломщика это будет глупо. Взлом по порту - взлом сервера (хостинга), он будет обходить не ваш сайтик а целый сервак. Взлом через эксплойты (после инъекции) - взлом непосредственно вашего сайта. А потом через эти же эксплоиты, взломщик может получить доступ к базам всего сервера, если от этого не предусмотрена супер-пупер защита.
Инъекция примерно могла быть такой:

SELECT * FROM Customers where page=1'"; 
SHOW TABLES FROM @dbname;
DROP TABLE @tab1name; 
DROP TABLE @tab2name;
....
CREATE TABLE WARNING {
...
}

Как они сохранили БД, понятия не имею.

[Adik Izat]

Сергей Присяжнюк, на частые запросы орут серваки с защитой от ботов (чаще всего C3OP), но как бы на каждую защиту есть свой обход.

[Сергей Присяжнюк]

Понял спасибо

[Камил]

Сергей Присяжнюк, нет конечно

[vlarkanov]

НИКОГДА не выставляйте порт БД в дикие интернеты. Это не только опасно, но и просто не имеет смысла.

Answer 3

[mitya_k]

База никогда не должна быть доступна наружу!

Порт 3306 должен быть доступен только с localhost, иначе все повторится.

Для того чтобы подключаться с другого компа надо делать, либо проброс порта через SSH (ssh user@example.com -L 3306:127.0.0.1:3306 -N), либо настраивай VPN.

Comments

[Сергей Присяжнюк]

Да я прочитал, но мне интересно именно каким способом они взломали через порт ? Подбор паролей ?

[mitya_k]

Самые популярные дыры это либо брутфорс пароля для root(если порт был открыт) или sql инъекция.

[Antonio Solo]

защита от брутфорса достаточно проста - длинные пароли и Fail2Ban. и никакого рокет сайнса ту не требуется. Fail2Ban или аналог стоит у любого нормального хостера.

если при этом есть правильное распределение прав то можно открывать порт, и ничего не случиться.

хотя конечно согласен, что использование SSH повышает безопасность.

[Antonio Solo]

mitya_k, самый популярный брутфорс mysql - локальный

[Antonio Solo]

Сергей Присяжнюк, способ взлома можно найти в логах.

Answer 4

[Stalker_RED]

Про инъекции все правильно пишут, но это не единственный способ взломать базу. Вот список известных уязвимостей, большинство из которых закрыты уже. Но это не значит, что кроме известных нет никаких других.

Comments

[Antonio Solo]

на дворе 2020 год а в списке 2016

если нет _известных_ то нет и эксплоитов и взломов

[Stalker_RED]

Antonio Solo, ну да, конечно. А в известные они попадают исключительно через white hat, а ботнеты и руткиты - не существуют, и в дарктнетах не продаются, ага.

Answer 5

[Antonio Solo]

Взломать через порт реально, если он открыт, не защищен никак от брутфорса и при этом использованы простые пароли.

в случае профессиональных хостеров они как правило не любят открывать mySQL наружу на все адреса, а если открывают, то защита от брутфорса у них настроена.

но замечу, что открытие порта 3306 для паблика это на сегодня экзотика и те кто это делает обычно очень хорошо понимают что и зачем они делают (либо ваще ничего не понимают в администрировании).

Answer 6

[MrGroovy]

Как можно взломать через порт ? Реально ли это и т.д.

База данных на открытом порту предоставляет дополнительные векторы для атаки, например брут форс или эксплоит (очень показательный вариант CVE-2012-2122). Такого можно избежать закрыв доступ к 3306 порту.

о защите mysql знаю только о SQL инъекциях и о том что нужен норм пароль (что бы подобрать не смогли).

Базы данных в основном взламывают через ошибки в коде сайта и недостаточную фильтрацию входящих данных.
Нужно проверить код на возможность SQL-инъекция, так как появляется возможность извлечь root пароль. И в завершении проверить на XSS, так как можно украсть Cookies сессию администратора и через панель phpMyadmin работать c СУБД. Для этого вам понадобятся таки программы, как SQLmap, MetaSploit, Arachni.
Есть специальные ресурсы, сканеры уязвимостей, которые могут проверить большинство уязвимостей, например:
https://metascan.ru
https: //acunetix.com/
https: //detectify.com/

Answer 7

[y76uGZ]

Сто лет в обед такому взлому )
Взламывают через дырявый phpmyadmin, который у вас доступен по адресу site.com/phpmyadmin
Меняйте стандартный адрес и отключайте доступ для пользователя root (обычно по умолчанию включен), а еще лучше удаляйте phpmyadmin
Думаю если погуглите по указанному биткоин кошельку, то найдете подтверждение и таких же собратьев по несчастью.

Answer 8

[Владимир Петрозаводский]

Могли взломать если порт торчал наружу. Могли сломать если на хостинге где то лежал скажем phpmyadmin, (может на другом аккаунте) и порт был закрыт. Думаю вопросов больше не должно остаться

Answer 9

[virusmike]

Через порт нет!
2 варианта :
- на сервере стоит старый не обновлённый phpmyadmin, который если не нужен лучше отключать совсем, переименовав папку
- на сервере старый php, например 5й.