VETTORE DI ATTACCO
Colpi mensili tramite un attacco DDoS globale. Risolto con Cloudflare.
Ora l'attaccante può smontare in qualche modo i collegamenti delle unità di rete e ripristinare le autorizzazioni utente MySQL per le applicazioni.
L'attacco viene risolto semplicemente emettendo questi comandi:
GRANT ALL PRIVILEGES ON application.* TO application_user;
FLUSH PRIVILEGES;
Ho anche bisogno di rimontare l'unità remota usando sshfs
DESCRIZIONE DEL SISTEMA
Il mio sistema funziona con 2 server.
Un server ha MySQL, Memcache, Nginx e molti contenuti statici.
Il server B ha Apache, PHP5-FPM e monta l'unità statica da A per servire alcuni contenuti condivisi. Questo è per scopi di imaging.
Un server e un server B parlano solo sulle porte 80 e 443 su Cloudflare perché ci siamo già trovati in DDoS. Per quanto ne so, i loro veri IP sono sconosciuti.
Un server NON consente connessioni esterne su 3306 per QUALSIASI utente.
Tutte le password MySQL sono lunghe 32 caratteri e includono caratteri non alfanumerici ($ @ _ '")
Le password degli utenti NON cambiano e l'autore dell'attacco non è MAI stato in grado di fornirmi prove per poter leggere il database.
I server A e B non accettano SSH sulla porta 22 e le loro password sono 64 caratteri non alfanumerici. Non ho mai visto i registri che mostrano una connessione non familiare è stato fatto.
Gli utenti a livello di applicazione non hanno la possibilità di accedere a mysql.user e non possono apportare modifiche a questa tabella. Un'iniezione SQL è improbabile perché l'utente malintenzionato non rilascia tabelle.