Вероятно, хакеры смогли каким-то образом получить вывод команды ps -ef на моей системе, а у меня там в крон тасках были скрипты для бэкапа базы, которым передавался пароль к базе в командной строке....
Но может быть и не в этом было дело.
Однако, пароли к базе из параметров командной строки я убрал.
Все может быть. Скачал последний Nessus 8.8.0, запустил скан уязвимостей, он ничего не нашел. Видимо, надо разбираться в Metasploit... Мне же надо знать, где дыра.
Для работы master-slave репликации нужно, чтобы сервер биндился на внешнем интерфейсе.
Доступ рута с внешних адресов запрещен, другие юзеры бд имеют минимальные права. Но как-то же сломали!
Nikita, про одинаковые адреса я выдвинул гипотезу. Иначе как объяснить, если пробои такого рода у людей случаются из-за дырявых phpmyadmin (для которых есть эксплоиты и т.д), а у меня на сервере его не установлено, но сервер в виртуалке и сидит на одном железе с другими виртуалками.
Руслан Федосеев, конечно не имеет значения, какой пароль рута! Эксплоит на то и рассчитан, чтобы получить привилегии рута при эксплуатации какой-то уязвимости в старом phpMyAdmin, и/или работающем на старом или с уязвимостью интерпретаторе php.
Еще раз - мы рассматриваем не штатную ситуацию, когда "программа" phpmyadmin работает, а именно пробой дыры в ней за счет использования уязвимости в ее или php старых версиях, например за счет sql injection или переполнения буфера.
Nikita, это называется "Технология виртуализации".
Все сетевые пакеты данных, которые приходят на сетевую карту гипервизора, потом перенаправляются на какую-то (или может быть все? я не знаю) из виртуальных машин. Вот и спрашиваю тут, ищу эксперта.
Например, в протоколе HTTP 1.1 (в отличие от 1.0) есть строчка Host: example.ru сразу под GET / HTTP/1.1
Именно это и позволило запускать несколько веб-сайтов на одном IP, перенаправление на нужный веб-сайт идет по строчке Host.
Как идет (и идет ли вообще) перенаправление на нужный MySql сервер из ряда серверов, сидящих в разных контейнерах, но на одном по IP, следующей строке в my.cnf - я не знаю!:
# bind-address = x.x.x.x
(закомментированная строчка, т.е. бинд идет на ВСЕ интерфейсы, в т.ч. на внешний IP)
Может там броадкастом все сыпется на все БД сервера? Тогда пробой дырявого phpmyadmin будет означать получение рут доступа на ВСЕХ БД!
Руслан Федосеев, внимательнее читайте.
Оба сервера (мой и с дырявым phpmyadmin) - виртуальные, находятся НА ОДНОМ IP, технология виртуализации OpenVZ.
При соединении к БД функцией mysqli_connect указывается IP хоста, юзер, пароль. То есть при работе двух и более контейнеров OpenVZ на одном физическом сервере, Я ДУМАЮ и спрашиваю здесь - возможно ли получить доступ к БД на соседнем контейнере?
Впрочем, ждем прихода более подкованных в технологии виртуализации товарищей.
"Script kiddie attack on vulnerable PHPMYADMIN version with CVE (4.6.6)."
Вот я и проверяю эту гипотезу.
По сути, если такая атака реальна, то она не требует брутфорса и многомесячных переборов пароля рута. Достаточно будет только найти контейнер с уязвимой версией phpmyadmin.
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
Но может быть и не в этом было дело.
Однако, пароли к базе из параметров командной строки я убрал.