VECTOR DE ATAQUE
Golpes mensuales a través de un ataque DDoS global. Resuelto con Cloudflare.
El atacante ahora puede desmontar de alguna manera los enlaces de unidad de red y restablecer los permisos de usuario de MySQL para aplicaciones.
El ataque se resuelve simplemente emitiendo estos comandos:
GRANT ALL PRIVILEGES ON application.* TO application_user;
FLUSH PRIVILEGES;
También necesito volver a montar la unidad remota usando sshfs
DESCRIPCIÓN DEL SISTEMA
Mi sistema funciona con 2 servidores.
Un servidor tiene MySQL, Memcache, Nginx y una gran cantidad de contenido estático.
El servidor B tiene Apache, PHP5-FPM y monta la unidad estática desde A para servir contenido compartido. Esto es para fines de imagen.
Un servidor y un servidor B solo hablan en los puertos 80 y 443 a Cloudflare porque hemos sido DDoS'd antes. Que yo sepa, sus verdaderas direcciones IP son desconocidas.
Un servidor NO permite conexiones externas en 3306 para CUALQUIER usuario.
Todas las contraseñas de MySQL tienen 32 caracteres de longitud e incluyen caracteres no alfanuméricos ($ @ _ '")
Las contraseñas de los usuarios NO cambian y el atacante NUNCA ha podido proporcionarme pruebas de que puede leer la base de datos.
Los servidores A y B no aceptan SSH en el puerto 22 y sus contraseñas tienen 64 caracteres no alfanuméricos. Nunca he visto registros que muestren que se haya realizado una conexión desconocida.
Los usuarios de nivel de aplicación no tienen la capacidad de acceder a mysql.user y no pueden realizar cambios en esta tabla. Es poco probable que se produzca una inyección de SQL porque el atacante no elimina las tablas.