Sono uno sviluppatore di un piccolo sito web. Ci sono 3 server web (per il bilanciamento del carico) e un server MySQL.
Oggi i server web sembrano essere in calo e, sfortunatamente, non riesco a impossessarmi dell'amministratore (è in un fuso orario diverso, probabilmente addormentato). Ma ho alcuni privilegi elevati, quindi posso collegarmi come amministratore di permessi completi al server MySQL tramite PHPMyAdmin (che è in esecuzione localmente sul server MySQL).
Lì vedo qualcosa di strano nei risultati di SHOW PROCESSLIST
. Ci sono oltre 500 connessioni da "utente non autenticato" con il comando "Connetti". Queste connessioni provengono da due dei tre server Web che abbiamo (credo). Fondamentalmente stanno cercando di connettersi, ma in realtà non si connettono.
È stato così per circa 5 ore. Il server MySQL è soddisfatto di questo e non sta nemmeno rallentando, il che mi fa pensare se si tratta di un attacco. Inoltre, se l'attaccante aveva il controllo del server, poteva semplicemente trovare le password pertinenti nei file del codice sorgente PHP.
Quindi - questo è un attacco e c'è qualcosa che posso fare al riguardo fino all'arrivo dell'amministratore? (Non ho root server, solo privilegi di amministratore MySQL)
Aggiornamento: avevo scritto il nome utente in modo errato. Non è "utente anonimo", è "utente non autenticato".
Aggiornamento 2: OK, l'amministratore si è appena svegliato. Grazie per il tuo aiuto!