mysql törés

 ( pch | 2018. december 20., csütörtök - 11:15 )

Üdv!

Találkozott valaki mysql töréssel?
phpmyadmin-on keresztül mentek be bruteforce módszerrel.
Bár volt fail2ban..
Töröltek minden adatbázist.
Egyet létrehoztak benne hogy fizess bitcoint.

pch

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nem, de hallottam róla.

BTW: nekem mindenhol van pluszban egy .htacess auth a phpmyadmin előtt

en nginx reverse proxy-t szoktam betenni auth-tal.

intranet-en nem ker jelszot, internet felol ker jelszot.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Az ilyen apróságok okozzák a nyugodtabb életet. :)

ugyanitt kerestetik Dockerfile config nginx reverse proxyhoz, ami viszi a carddav es caldav protokollokat (webdav http szokiegeszitesek) :)

Egyszer belekezdtem, de kb. ket nap kiszarakodni. Majd egyszer.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

+1 sose értettem miért is kell egy phpmyadmin -t .htaccess auth nélkül kirakni bárhova is.. (ha csak nem speciális eset van, pl webhostingot szolgáltat sok-sok embernek az illető, stb)

Nálam is az összes ilyen *admin rész .htaccess után ül.

Custom url szerintem hatékonyabb, mert CSRF ellen nem véd a .htaccess jelszó:
- A támadó megtalálja a phpmyadmin címét
- Küld az usernek egy email-t amiben van egy <img src="http://host/phpmyadmin/tbl_change.php?db_name=anything&action=delete"> kép (meg belerak egy "Valaki egy fotót töltött fel rólad facebookon, kattints ide a megtekintésért" linket a maximális kompatibilitásért)
- Így hiába van rajta jelszó ha az user korábban bejelentkezett a phpmyadmin-ba, akkor az email megnyitásakor törli a táblát.

--

Pont pár napja derült ki egy ilyen jellegű hiba, így én nem zárnám ki hogy ez történt:

2018 December 12 22:06 GMT - A vulnerability in phpMyAdmin could allow an unauthenticated, remote attacker to conduct a cross-site request forgery (CSRF) attack on a targeted system. An attacker could exploit this vulnerability by convincing a user to click a malicious link. A successful exploit could allow the attacker to perform unauthorized database operations, such as deleting records or dropping tables.

- https://tools.cisco.com/security/center/viewAlert.x?alertId=59302

Esetleg a hagyott üzenetre, ip címre vagy a bitcoin címre kereseve a google-on több infót lehet találni a támadás típusáról.

Ok törölni tudott így, de exportálni db-t?
Vagyis kicsi az esély, hogy megvan neki, ha ezen módszerrel törölt.

Attól, hogy azt írja, hogy visszaadja a fizetés után nem azt jelenti, hogy valóban meg is teszi / meg tudja tenni :)

A most megjelent CVE-2018-19969 -t kihasználva elvileg usert is tudott hozzáadni:
"By deceiving a user into clicking on a crafted URL, it is possible to perform harmful SQL operations such as renaming databases, creating new tables/routines, deleting designer pages, adding/deleting users, updating user passwords, killing SQL processes, etc."

De ha én lennék a támadó biztos nem növelném a lebukás esélyét az exporttal (adatforgalom/cpuhasználat graphon észrevehető), illetve a visszaadás is elég macera.

Szerintem sincs meg neki..
Ezért próbálom visszaállítani.
De kezdem feladni...
Az a baj, hogy ez is csak azt tudja amit már tudok, de sok helyen ott a log-ba a ### így ha az -s pociót használom az ami kimenetként van semmire nem jó, mert nincs benne sok insert.
Ezek olyan insertek amik olyan táblába inzertálnak amikre van aggatva trigger.
És így kvázi használhatatlan a dump.
Azaz ott van minden de mégsincs :(

pch
--
SB-soft online ügyviteli rendszer
--

Szerintem kérj tőle dump részletet. ...ami a legfrissebb részből van

próbálom visszaállítani.
De kezdem feladni...

ezek szerint nincs mentesed...

--
Jo, maradjon Gruevszki, ha adhatunk cserebe valakit: https://hvg.hu/itthon/20181123_Kolcsontolvaj_visszajar

Igen látni a logokban, hogy próbálkoznak rendesen.

Fedora 28, Thinkpad x220

Bynary log-ból esetleg helyreállítható valami?
Sajnos az auto mentési chron valamiért elhasalt 10.09-nél.

pch
--
SB-soft online ügyviteli rendszer
--

10 mint óra vagy mint október?

10 mint október.
binlog-ba elvileg ott van minden.
Viszont nem tudom belőle felépíteni az adatbázist.
Ugyanis egy rakat helyen ###van az insert into előtt..
Már megcsináltam a base64 kikódolást.
Szóval elvileg itt van minden ami történt azóta csak használhatatlan.

Nincs valami tool erre?

Amit írnak, hogy adjam be a mysql-nek a fentiek miatt nemmegy...

pch
--
SB-soft online ügyviteli rendszer
--

Sohasem csináltam, de szerintem van:
https://www.thegeekstuff.com/2017/08/mysqlbinlog-examples/

csak nem a prohardver? :D

Szeencse, hogy most olcsó a bitcoin. :)

Meg lehet próbálni visszaszerezni a letörölt fájlokat a lemezről, pl. extundelete segítségével, ha extX a fájlrendszer, vagy visszaállítani snapshotból, ha ZFS.

És ajánlom a PHPMyAdmin helyett az Adminer-t, sokkal jobb, mint a PHPMyAdmin.

ez mitol mysql tores? Elbaszott phpmyadmin setuppal csinaltal egy backdoor-t, amin bementek.

Az eddigi legjobb, amit lattam (hacsak be nem neztem valamit) az volt, hogy emberunk feltett phpmyadmin zero vedelemmel (es elkovette azt a hibat is, hogy a mysql user jelszavat beirta a konfigba). Aztan jott a google crawler, vegigment az osszes phpmyadmin linken (az access.log-ot nezve), es hat volt link a torlesre is...

--
Jo, maradjon Gruevszki, ha adhatunk cserebe valakit: https://hvg.hu/itthon/20181123_Kolcsontolvaj_visszajar

MegaLOL

:-)

Ezert kell POST-ban kuldeni az osszes torles muvelet parametereit szerintem.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

ne nekem mondd...

--
O1G

Nem én vagyok az üzemeltető. Szóval nem csináltam semmit.
De végül sikerült a log fájlokból visszaépíteni az adatbázist.
A megoldás, hogy nem kell semmit kicsomizni és az elejétől kellett kezdeni. Megpróbáltam kezdő időt megadni de mindig dulplicate lett az eredménye. Szóval megadtam az utolsó időt az adatbázis nevét és szépen felépítette. Ami még kellett, hogy a max packet értékét meg kellett növelni.

pch
--
SB-soft online ügyviteli rendszer
--

akkor ennek örömére ki is lehet dobni a phpmyadmin-t

+1