devon | 2020-01-24 19:57:06 UTC | #1
Witam. Doszło u mnie do włamania do bazy. Chciałbym zapytać jak można to zlokalizować jak do tego doszło. Baza głównie authme i logblock tego 1 mam kopie ale chce się zabezpieczyć.
edit:Zostawił adres btc i email licząc w wiadomym celu…
Wright | 2020-01-24 20:04:04 UTC | #2
Zablokować porty, zablokować logowanie root’a, jak używasz pma, to zmienić url na jakis unikalny + basic auth
Nieznajomy11 | 2020-01-24 20:39:16 UTC | #3
[quote=”devon, post:1, topic:13366”]
Zostawił adres btc i email licząc w wiadomym celu…
[/quote]
Wygląda jak bot, który szuka popularnych aplikacji z błędami. Co masz na stronie www, jeśli taką masz? Co dokładniej jeszcze hostujesz na tym serwerze?
devon | 2020-01-24 20:40:14 UTC | #4
tylko sklepik serwera bojawiem bez danych wrazliwych tylko kody zbierane do sklepiku i sm serwer
Nieznajomy11 | 2020-01-24 20:51:27 UTC | #5
Czy użytkownik bazy danych sklepu widzi bazę authme i logblock? Korzystasz z oprogramowania typu PhpMyAdmin?
devon | 2020-01-24 20:52:45 UTC | #6
utworzyl swoja baze reszte wykasowal i zabral sie zostwiajac dres btc ..okup:D
wiec zapewne tak
Nieznajomy11 | 2020-01-24 20:53:07 UTC | #7
Może tak. Jakiego użytkownika używasz w itemshopie do bazy danych?
devon | 2020-01-24 20:53:25 UTC | #8
utworzonego z moim haslem
Nieznajomy11 | 2020-01-24 20:55:51 UTC | #9
Ok. Czy hasło było losowe, długie, typu jak poniżej? Czy raczej wymyślone, ze słów.
weeB1zai0Thaexuyiesawoo6Ahk7beiM eeP7Wicha1luoziedah4Phooh4ooK0ei
eiMiekus7Betuof0AghaiPh5teV4shoo Eb9mo5oacu8iepeitheesu5fahK1ohho
euchahxaeGo1xiurvaehiX0Shie7uobe ahchi7Kee0quouxaOhdoh5ung6GahCh7
Z tego co rozumiem, wszystko korzysta z jednego użytkownika. Gdybyś miał oddzielnych użytkowników na pluginy z serwera (logblock i inne), authme (nie łączyć z pluginami) oraz na sklep, to od razu byłoby wiadomo.
Jakiego serwera WWW używasz? Apache2?
devon | 2020-01-24 20:57:07 UTC | #10
przyznam sie ze na odwal. czyli byla to troche inna kombinacja hasla ktore wycieklo w 2013
byly slowa znaki i cyfry mimo to ale no..
Nieznajomy11 | 2020-01-24 20:58:12 UTC | #11
Czyli pewnie nie ma co nawet szukać, zwykły bot, który bruteforce złamał twoje hasło do bazy. Jakbyś chciał jednak sprawdzać to drugi najbardziej prawdopodobny wektor ataku to twoja strona, sprawdzić logi apache czy tam nginx trzeba.
Zmień hasło na długie losowe, np. 64 znaki. Dodatkowo jak tworzysz użytkownika, używaj konkretnego adresu IP do przydzielania dostępu, nie ‘%’. Alternatywnie możesz skorzystać do ograniczenia dostępu z iptables.
Jeszcze tylko zapytam, twoja baza była celowo ustawiona, aby była dostępna z rzeczy poza serwerem? Czy nic takiego nie zmieniałeś.
devon | 2020-01-24 21:01:28 UTC | #12
ale sobie przypominam ze....uzylem narzedzia online do sprawdzenia czy mysql zdalny odpowiada i tutaj chyba wydaje mi sie ze zjebal**em
devon | 2020-01-24 21:02:25 UTC | #13
wlasnie nie moglem uzyskac sam dostepu zdalnego wiec …troche dziwne
Nieznajomy11 | 2020-01-24 21:08:02 UTC | #14
Sprawdź linijkę z bind-address w /etc/mysql/my.cnf. Co tam jest wpisane? Czy jest zakomentowana (# na początku)?
devon | 2020-01-24 21:08:59 UTC | #15
zmienialem na 0.0.0.0 ale i tka nie chcialo mi dzialac
Nieznajomy11 | 2020-01-24 21:10:48 UTC | #16
Czyli obecnie jest wpisane tam dokładnie bind-address 0.0.0.0, bez # na początku? Jeśli tak, to pierwszym krokiem w przypadku gdy nie używasz zęwnetrznych połączeń z bazą danych, będzie zmiana tego na 127.0.0.1, czyli localhost.
system | 2020-02-25 21:10:03 UTC | #17
Ten temat został automatycznie zamknięty 32 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.