Задать вопрос
  • Как найти путь до скрипта подбирающего пароль mysql?

    @MrRitm Автор вопроса
    Роман Мирр, Дело в том, что доступ иногда нужен и клиентам. А им не объяснишь, как пользоваться SSH и что есть что-то помимо PMA для управления базой.
    edo1h, спасибо, Ваша идея в общем и привела к решению
  • Как найти путь до скрипта подбирающего пароль mysql?

    @MrRitm Автор вопроса
    Господа, всем огромное спасибо за идеи и участие. Проблема действительно оказалась именно в интерфейсе phpmyadmin который доступен снаружи при этом допускает ограниченное количество попыток ввода пароля.
    Т.е. по сути пытаются подобрать пароль к базе для каждого сайта по отдельности, подставляя домен в качестве логина или если не базу сайта, то ставят логин admin, admin2 и прочее. Самое забавное, что пока даже логин ни разу существующий не встретился в логах. Так что думаю до подбора первой пары логин+пароль не то, что я, а планета не доживёт :-)
    P.S.
    Подскажите, как вопрос отметить решенным?
  • Как найти путь до скрипта подбирающего пароль mysql?

    @MrRitm Автор вопроса
    Кажется я понял, что происходит. В Апачевом конфиге для Phpmyadmin ничего не написано про логи. А значит если кто-то ломится через него, я в логах апача ничего не увижу. Сейчас пытаюсь понять, как дописать в конфиги сбор логов для phpmyadmin. Не совсем понятно, куда вписывать пути к лог-файлам ибо это не отдельный virtualhost. Сейчас почему-то в error.log пишутся общие серверные логи, а вот пробная попытка зайти с левой учеткой через phpmyadmin не зафиксировалась.
  • Как найти путь до скрипта подбирающего пароль mysql?

    @MrRitm Автор вопроса
    Сейчас прогнал проверку rkhunter - ничего интересного он не нашел. поругался только на то, что не с чем сравнивать passwd.
    Потом прошелся grep'ом по всем файлам какие нашлись в /var/www, нашел кучу словарей. Обрадовался, а оказалось, что битрикс зачем-то "из коробки" держит файлы со словарями (bitrix/modules/perfmon/admin/perfmon_tables.php). Зачем?..
    Писать программу чтобы слушала 3306 порт - странное решение. Ведь порт уже занят. Да и IP адрес я и так знаю - 127.0.0.1 ибо снаружи уже несколько раз проверил - закрыт порт.
  • Как найти путь до скрипта подбирающего пароль mysql?

    @MrRitm Автор вопроса
    Роман Мирр, Учетка Admin2 не существует вообще. Как и множество других учеток мелькавших в логах. У некоторых клиентов название учетки mysql почти совпадает с названием домена, но не у всех. И в логах я видел попытки подобрать пароль к учетке которая на 100% совпадает с названием домена. Т.е. предполагаю, что тот кто занимается подбором знает не так много о том, куда попал.
  • Как найти путь до скрипта подбирающего пароль mysql?

    @MrRitm Автор вопроса
    А смысл? Я и так вижу строки типа: Jul 26 03:47:13 host2 mysqld: 2020-07-26 3:47:13 140000680802048 [Warning] Access denied for user 'Admin2'@'localhost' (using password: YES)
    Просто для вызова клиента mysql из консоли, надо в нее залогиниться, а у нас только 1 учетка под которой можно SSH пользовать и она у меня. Т.е. я в логах не вижу подозрительных входов перед появлением ошибки приведенной выше. По SSH только мои всегда. Значит скрипт. А если так, то надо как-то путь к скрипту найти. Вот как получить подробности хоть в тот-же messages?..