¿Existe una inundación de conexión de MySQL?

Question

¿Existe una inundación de conexión de MySQL?

#1 de GBC (1 votos)
#2 de GdD (1 votos)
#3 de symcbean (1 votos)

0

Soy un desarrollador para un pequeño sitio web. Hay 3 servidores web (para equilibrio de carga) y un servidor MySQL.

Hoy en día, los servidores web parecen estar fuera de servicio y, desafortunadamente, no puedo contactar con el administrador (está en una zona horaria diferente, probablemente dormida). Pero tengo algunos privilegios elevados, por lo que puedo conectarme como administrador de permisos completos al servidor MySQL a través de PHPMyAdmin (que se ejecuta localmente en el servidor MySQL).

Allí veo algo extraño en los resultados de SHOW PROCESSLIST . Hay más de 500 conexiones de "usuario no autenticado" con el comando "Conectar". Estas conexiones provienen de dos de los tres servidores web que tenemos (creo). Básicamente, están intentando conectarse, pero en realidad no se están conectando.

Ha sido así durante aproximadamente 5 horas. El servidor MySQL está contento con esto y ni siquiera se está ralentizando, lo que me hace preguntarme si se trata de un ataque. Además, si el atacante tenía el control del servidor, podría encontrar las contraseñas relevantes en los archivos de código fuente de PHP.

Entonces, ¿es esto un ataque y hay algo que pueda hacer al respecto hasta que llegue el administrador? (No tengo un servidor raíz, solo privilegios de administrador de MySQL)

Actualizar: había escrito el nombre de usuario incorrectamente. No es "usuario anónimo", es "usuario no autenticado".

Actualización 2: OK, el administrador se acaba de despertar. ¡Gracias por tu ayuda!

mysql flooding

pregunta Vilx- 08.03.2013 - 13:46

fuente

3 respuestas

Lea otras preguntas en las etiquetas mysql flooding

Si mi servidor estaba comprometido, ¿es segura mi base de datos? ¿Me ha afectado el reciente exploit de Java?

score 1 · Answer 1

MySQL incluye una cuenta de usuario anónimo que permite a cualquier persona conectarse al servidor MySQL sin tener una cuenta de usuario. Esto solo está destinado a pruebas, y debe eliminarse antes de que el servidor de la base de datos se coloque en un entorno de producción.

Si está configurado correctamente, el servidor MySQL no debería ser accesible por otra dirección IP que no sea la web (aparte de eso: si es un sitio pequeño, ¿por qué necesita tantos servidores?).

Es más probable que esto sea un problema de configuración / código que un problema de seguridad. En cualquier caso, mi consejo sería intentar recopilar y documentar tanta información (

¿Qué te hace pensar que las conexiones son desde los frontales web?
¿A qué bases de datos accede el usuario?
¿Qué consultas se están ejecutando?
¿De qué IP provienen las conexiones?

) como puedas sobre lo que está sucediendo con el sistema, y continúa intentando despertar a tu administrador.

score 1 · Answer 2

El usuario anónimo probablemente está siendo utilizado por la aplicación del sitio web para acceder a la base de datos de back-end, en cuyo caso cada una de las 500 conexiones probablemente represente una conexión web individual al sitio. Si el sitio web es pequeño, 500 conexiones simultáneas podrían ser suficientes para desactivarlo, por lo que puede indicar una condición de denegación de servicio. Esto puede ser un ataque, o puede deberse a que su sitio sea inesperadamente popular

El hecho es que, a menos que tenga algún tipo de línea de base, no puede saber si 500 conexiones son normales o anormales, por lo que simplemente no hay forma de responder esta pregunta al 100%.

Una acción para quitar esto sería comenzar a recopilar métricas como las conexiones de sitios, las conexiones de SQL, etc. para que sepa qué es normal y qué no lo es.

score 1 · Answer 3

No sé qué está causando esto: ha habido algunas sugerencias de otros usuarios, pero si fuera usted, empezaría por observar el origen de este tráfico: cuál es el cliente (me refiero al programa en la web). servidor de la máquina - no el host)? ¿Está haciendo algo que debería intentar o tienes una vulnerabilidad? ¿Qué está pasando con el perfil de tráfico en los servidores web? ¿Ha ejecutado un barrido IDS en los archivos del servidor web?