Quali sono le tracce di un attacco mysql su un server quando l'utente malintenzionato ha le autorizzazioni complete?

1

Ho appena spento il mio server ieri, dopo che ha iniziato a distribuire lo spam dei commenti su Internet, con una sorprendente velocità di oltre 70 "spam" / min, in basso sulla linea 1/2 gig ram VPS. Sto ancora cercando di capire come ci sia, ma una possibilità è un file iniettato, iniettato da MySQL. La ragione per cui sospetto di MySQL è che potrei aver trapelato le credenziali di un utente con piena potenza ... Oooopss (Non fidarti mai di un .gitignore se non sai esattamente cosa stai facendo)!

La domanda per davvero:

Come potrei dire se qualcuno ha provato ad aggiungere / modificare un file sul mio server, dati i poteri mysql di admin completi. Bonus se riesco a trovare il file ... Ho programmato uno speciale veramente per questo. * Il problema più grande è che non ho un registro delle query mysql: / ...

Statistiche di sistema:

  • Ubuntu 14.0.4
  • Apache 2. qualcosa
  • MySQL ...?
    Posso controllare se è necessario, ma non voglio riattivarlo se può essere aiutato

* Non attaccherei mai indietro ... mai ... Stavo solo pensando di cancellarlo carattere per carattere, lentamente e deliberatamente. Magari mandandolo in qualche laboratorio per testare i vaccini, gli aghi a punta richiesti!

Aggiornamento: per quelli di voi curiosi su cosa c'era di veramente sbagliato con il mio server, avevo incasinato un passaggio proxy al nodo in modo che chiunque potesse usarlo.

    
posta GiantCowFilms 01.03.2015 - 21:28
fonte

1 risposta

1

A seconda dei privilegi che l'utente mysql (l'account a livello di sistema utilizzato per eseguire MySQL) ha e in che modo è configurato MySQL, le tracce potrebbero essere qualsiasi cosa, da una traccia di controllo completa nei file di log MySQL, a nessuna traccia di sorta .

Supponendo che l'utente mysql non possa fare altro che leggere e scrivere file, la tua scommessa consiste nel cercare nell'unità i file di proprietà dell'utente. MySQL normalmente non crea file al di fuori della sua directory di dati, quindi qualsiasi cosa tu trovi al di fuori di essa è sospetta.

    
risposta data 01.03.2015 - 21:59
fonte

Leggi altre domande sui tag