mysql törés

Üdv!

Találkozott valaki mysql töréssel?
phpmyadmin-on keresztül mentek be bruteforce módszerrel.
Bár volt fail2ban..
Töröltek minden adatbázist.
Egyet létrehoztak benne hogy fizess bitcoint.

pch

( uid_17626 | 2018. 12. 20., cs – 10:35 )

Nem, de hallottam róla.

BTW: nekem mindenhol van pluszban egy .htacess auth a phpmyadmin előtt

ugyanitt kerestetik Dockerfile config nginx reverse proxyhoz, ami viszi a carddav es caldav protokollokat (webdav http szokiegeszitesek) :)

Egyszer belekezdtem, de kb. ket nap kiszarakodni. Majd egyszer.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Custom url szerintem hatékonyabb, mert CSRF ellen nem véd a .htaccess jelszó:
- A támadó megtalálja a phpmyadmin címét
- Küld az usernek egy email-t amiben van egy 

<img src="http://host/phpmyadmin/tbl_change.php?db_name=anything&action=delete">

kép (meg belerak egy "Valaki egy fotót töltött fel rólad facebookon, kattints ide a megtekintésért" linket a maximális kompatibilitásért)
- Így hiába van rajta jelszó ha az user korábban bejelentkezett a phpmyadmin-ba, akkor az email megnyitásakor törli a táblát.

Pont pár napja derült ki egy ilyen jellegű hiba, így én nem zárnám ki hogy ez történt:

2018 December 12 22:06 GMT - A vulnerability in phpMyAdmin could allow an unauthenticated, remote attacker to conduct a cross-site request forgery (CSRF) attack on a targeted system. An attacker could exploit this vulnerability by convincing a user to click a malicious link. A successful exploit could allow the attacker to perform unauthorized database operations, such as deleting records or dropping tables.

- https://tools.cisco.com/security/center/viewAlert.x?alertId=59302

Esetleg a hagyott üzenetre, ip címre vagy a bitcoin címre kereseve a google-on több infót lehet találni a támadás típusáról.

Attól, hogy azt írja, hogy visszaadja a fizetés után nem azt jelenti, hogy valóban meg is teszi / meg tudja tenni :)

A most megjelent CVE-2018-19969 -t kihasználva elvileg usert is tudott hozzáadni:
"By deceiving a user into clicking on a crafted URL, it is possible to perform harmful SQL operations such as renaming databases, creating new tables/routines, deleting designer pages, adding/deleting users, updating user passwords, killing SQL processes, etc."

De ha én lennék a támadó biztos nem növelném a lebukás esélyét az exporttal (adatforgalom/cpuhasználat graphon észrevehető), illetve a visszaadás is elég macera.

Szerintem sincs meg neki..
Ezért próbálom visszaállítani.
De kezdem feladni...
Az a baj, hogy ez is csak azt tudja amit már tudok, de sok helyen ott a log-ba a ### így ha az -s pociót használom az ami kimenetként van semmire nem jó, mert nincs benne sok insert.
Ezek olyan insertek amik olyan táblába inzertálnak amikre van aggatva trigger.
És így kvázi használhatatlan a dump.
Azaz ott van minden de mégsincs :(

pch
--
SB-soft online ügyviteli rendszer
--

( _ventura_ v | 2018. 12. 20., cs – 11:51 )

Igen látni a logokban, hogy próbálkoznak rendesen.

Fedora 28, Thinkpad x220

10 mint október.
binlog-ba elvileg ott van minden.
Viszont nem tudom belőle felépíteni az adatbázist.
Ugyanis egy rakat helyen ###van az insert into előtt..
Már megcsináltam a base64 kikódolást.
Szóval elvileg itt van minden ami történt azóta csak használhatatlan.

Nincs valami tool erre?

Amit írnak, hogy adjam be a mysql-nek a fentiek miatt nemmegy...

pch
--
SB-soft online ügyviteli rendszer
--

( dap | 2018. 12. 20., cs – 19:14 )

Szeencse, hogy most olcsó a bitcoin. :)

( TCH | 2018. 12. 21., p – 18:08 )

Meg lehet próbálni visszaszerezni a letörölt fájlokat a lemezről, pl. extundelete segítségével, ha extX a fájlrendszer, vagy visszaállítani snapshotból, ha ZFS.

És ajánlom a PHPMyAdmin helyett az Adminer-t, sokkal jobb, mint a PHPMyAdmin.

( sj | 2018. 12. 21., p – 20:52 )

ez mitol mysql tores? Elbaszott phpmyadmin setuppal csinaltal egy backdoor-t, amin bementek.

Az eddigi legjobb, amit lattam (hacsak be nem neztem valamit) az volt, hogy emberunk feltett phpmyadmin zero vedelemmel (es elkovette azt a hibat is, hogy a mysql user jelszavat beirta a konfigba). Aztan jott a google crawler, vegigment az osszes phpmyadmin linken (az access.log-ot nezve), es hat volt link a torlesre is...

--
Jo, maradjon Gruevszki, ha adhatunk cserebe valakit: https://hvg.hu/itthon/20181123_Kolcsontolvaj_visszajar

Nem én vagyok az üzemeltető. Szóval nem csináltam semmit.
De végül sikerült a log fájlokból visszaépíteni az adatbázist.
A megoldás, hogy nem kell semmit kicsomizni és az elejétől kellett kezdeni. Megpróbáltam kezdő időt megadni de mindig dulplicate lett az eredménye. Szóval megadtam az utolsó időt az adatbázis nevét és szépen felépítette. Ami még kellett, hogy a max packet értékét meg kellett növelni.

pch
--
SB-soft online ügyviteli rendszer
--