¿Cuáles son los rastros de un ataque mysql en un servidor cuando el atacante tiene permisos completos?

1

Acabo de apagar mi servidor ayer, después de que comenzó a distribuir spam de comentarios a través de Internet, a una velocidad asombrosa de más de 70 "spam" / min, parte inferior de la línea 1/2 gig ram VPS. Todavía estoy intentando averiguar cómo se está haciendo esto, pero una posibilidad es un archivo inyectado, inyectado por MySQL. La razón por la que sospecho de MySQL es que puedo haber filtrado las credenciales de un usuario con todo el poder ... Oooopss (Nunca confíes en un .gitignore si no sabes exactamente qué estás haciendo)!

La pregunta de verdad:

¿Cómo podría saber si alguien intentó agregar / modificar un archivo en mi servidor, dado todos los poderes de mysql del administrador? Bonificación si puedo encontrar el archivo ... Tengo algo especial para realmente . * El mayor problema es que no tengo un registro de consultas de mysql: / ...

Estadísticas del sistema:

  • Ubuntu 14.0.4
  • Apache 2. algo
  • MySQL ...?
    Puedo mirar si lo necesita, pero no quiero volver a activarlo si se puede ayudar

* Nunca volvería a atacar ... nunca ... Estaba pensando en algo así como borrarlo personaje por personaje, lenta y deliberadamente. Tal vez enviándolo a algún laboratorio para probar las vacunas, ¡se requieren agujas puntiagudas!

Actualización: para aquellos de ustedes que tengan curiosidad acerca de lo que realmente estaba mal con mi servidor, cometí un error al enviar un proxy a un nodo para que cualquiera pudiera usarlo.

    
pregunta GiantCowFilms 01.03.2015 - 21:28
fuente

1 respuesta

1

Dependiendo de los privilegios que tenga el usuario mysql (la cuenta a nivel del sistema que se usa para ejecutar MySQL) y cómo está configurado MySQL, los rastros podrían ser cualquier cosa, desde una pista de auditoría completa en los archivos de registro de MySQL, sin rastro alguno. .

Suponiendo que el usuario mysql no puede hacer nada más que leer y escribir archivos, su apuesta es buscar en la unidad los archivos que pertenecen a ese usuario. MySQL normalmente no crea archivos fuera de su directorio de datos, por lo que cualquier cosa que encuentre fuera de allí es sospechosa.

    
respondido por el Mark 01.03.2015 - 21:59
fuente

Lea otras preguntas en las etiquetas