Quale tipo di attacco può ripristinare i privilegi MySQL e smontare le unità remote senza root o shell?

4

VETTORE DI ATTACCO
Colpi mensili tramite un attacco DDoS globale. Risolto con Cloudflare.

Ora l'attaccante può smontare in qualche modo i collegamenti delle unità di rete e ripristinare le autorizzazioni utente MySQL per le applicazioni.

L'attacco viene risolto semplicemente emettendo questi comandi:

GRANT ALL PRIVILEGES ON application.* TO application_user;
FLUSH PRIVILEGES;

Ho anche bisogno di rimontare l'unità remota usando sshfs

DESCRIZIONE DEL SISTEMA
Il mio sistema funziona con 2 server.

Un server ha MySQL, Memcache, Nginx e molti contenuti statici.
Il server B ha Apache, PHP5-FPM e monta l'unità statica da A per servire alcuni contenuti condivisi. Questo è per scopi di imaging.

Un server e un server B parlano solo sulle porte 80 e 443 su Cloudflare perché ci siamo già trovati in DDoS. Per quanto ne so, i loro veri IP sono sconosciuti.

Un server NON consente connessioni esterne su 3306 per QUALSIASI utente.
Tutte le password MySQL sono lunghe 32 caratteri e includono caratteri non alfanumerici ($ @ _ '")
Le password degli utenti NON cambiano e l'autore dell'attacco non è MAI stato in grado di fornirmi prove per poter leggere il database.

I server A e B non accettano SSH sulla porta 22 e le loro password sono 64 caratteri non alfanumerici. Non ho mai visto i registri che mostrano una connessione non familiare è stato fatto.

Gli utenti a livello di applicazione non hanno la possibilità di accedere a mysql.user e non possono apportare modifiche a questa tabella. Un'iniezione SQL è improbabile perché l'utente malintenzionato non rilascia tabelle.

    
posta Josh 04.03.2015 - 05:06
fonte

1 risposta

1

Un riavvio del server A .

Qual è il tempo di attività del server A? È possibile che si sia verificato un errore del disco / riavvio? In tal caso, sshfs montare richiederebbe ovviamente una reinstallazione. E a volte ci sono script di avvio che potrebbero reimpostare alcune credenziali su quelle predefinite ...

PS: non è necessario FLUSH PRIVILEGES quando si utilizza l'istruzione GRANT . È necessario solo quando si modifica direttamente la tabella mysql.user ( INSERT , UPDATE ...).

    
risposta data 25.05.2015 - 22:54
fonte

Leggi altre domande sui tag