Proftpd + mysql user - HACK

Sekcia: Konfigurácia 18.08.2008 | 13:49
Avatar toody Debian, Fedora Core 4  Používateľ
Zdravim, idem na Vas s jednou prosbou mam server s dist. Debian Sarge a nasiem som v logu nasledujuci zaznam s tym ze sa mi tam pripojil nejaky nechceny kolega z Ciny cez proftpd server s loginom "mysql" pritom heslo k mysql uzivatelovi ktory pouziva mysql server nebolo vytvarane a netusim akym sposobom sa tam dostal a firewall je OK dakujem vopred za vsetky rady.

proftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=218.207.102.77 user=mysql
proftpd[25550]: domena.sk (218.207.102.77[218.207.102.77]) - PAM(mysql): Authentication failure.
proftpd[25550]: domena.sk (218.207.102.77[218.207.102.77]) - USER mysql (Login failed): Incorrect password.
proftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=218.207.102.77 user=mysql
proftpd[25550]: domena.sk (218.207.102.77[218.207.102.77]) - PAM(mysql): Authentication failure.
proftpd[25550]: domena.sk (218.207.102.77[218.207.102.77]) - USER mysql (Login failed): Incorrect password.
proftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=218.207.102.77 user=mysql
proftpd[25550]: domena.sk (218.207.102.77[218.207.102.77]) - PAM(mysql): Authentication failure.
proftpd[25550]: domena.sk (218.207.102.77[218.207.102.77]) - USER mysql (Login failed): Incorrect password.
proftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=218.207.102.77 user=mysql
proftpd[25554]: domena.sk (218.207.102.77[218.207.102.77]) - PAM(mysql): Authentication failure.
proftpd[25554]: domena.sk (218.207.102.77[218.207.102.77]) - USER mysql: Login successful.
    • Re: Proftpd + mysql user - HACK 19.08.2008 | 10:49
      Avatar kvaso kubuntu, debian  Používateľ
      zdar, mno teraz imho všetko záleží kam sa mládenec všade mohol dostať (kam má prístup užívateľ mysql?) ale aj tak kompromitovyný systém je niečo čomu by som už neveril - u mňa by nasledoval reinštall. Som trochu zmätený z toho čo si napísal ("...loginom "mysql" pritom heslo k mysql uzivatelovi ktory pouziva mysql server nebolo vytvarane...") ale vypadá to že v systéme máš účet mysql a veľmi slabé heslo keď sa ho podarilo získať takýmto útokom.
      • Re: Proftpd + mysql user - HACK 19.08.2008 | 11:54
        lieko   Návštevník
        je to len ftp takze reinstall je zbytocny
        • Re: Proftpd + mysql user - HACK 19.08.2008 | 12:00
          Avatar kvaso kubuntu, debian  Používateľ
          hmmm... vzhľadom na množstvo dostupných informácii o systéme a jeho konfigurácii je to dosť odvážne tvrdenie že je to "len" ftp. vo všeobecnosti je imho lepšie nainštalovať systém odznova (resp obnoviť zo záložného obrazu) a použiť zálohy konfig súborov(ktoré samozrejme tak ako obraz systému pravidelne obnovujeme že áno ;) )
        • Re: Proftpd + mysql user - HACK 19.08.2008 | 13:07
          Avatar borg Arch, Debian jessie  Administrátor
          ale ako gateway posluzi dobre
          • Re: Proftpd + mysql user - HACK 19.08.2008 | 13:17
            WlaSaTy   Návštevník
            tiez mam ten pocit. nepribudli tam nejake nove release filmov?
      • Re: Proftpd + mysql user - HACK 21.08.2008 | 10:19
        Avatar toody Debian, Fedora Core 4  Používateľ
        Pristup ma k home dir : /var/lib/mysql ci ze k databazam ..... , login je vytvoreny ale len na spustanie mysql severa je to systemovy ucet, v /etc/shadow pri ucte mysql kde ma byt zasifrovane heslo je len "!" cize ziadne heslo co by bolo slabe.
    • Re: Proftpd + mysql user - HACK 21.08.2008 | 11:01
      Avatar Lukáš Staňa Arch, CentOS, Debian  Používateľ
      Ahoj,

      s týmto som sa stretol už nie raz. Ide o to, že kompromitované počítače s vírusmi/trojanmi a inou háveďou sa snažia dostať na určité IPčky. Pokiaľ máš verejnú IP, musíš s tým rátať. Skúšajú totiž akési slovníkové užívateľské mená a heslá a tieto pokusy sa potom takto odrážajú v logu. Máš v systéme vôbec konto usera s názvom mysql? Ak áno, aby mohol používať ftp, musí byť v skupine ftpuser a prípadne mať aj valídny shell, ináč sa dnu nedostane. Z toho Login successful by som si nerobil ťažkú hlavu, už som sa stretol s tým, že mi proftpd vyhlásilo Login succesful po troch chybných zadaniach hesla a pritom som lognutý nebol.
      Ak chceš radu, nasaď si na server Fail2Ban, je to super vec, mám to na všetkých strojoch s verejnou IP a ide to skvele, už len dostávam maily o tom, koho z Taiwanu zase systém zabanoval :)
      Tu to naozaj nemá ani kultúru ani úroveň