TFk*_*TFk 8 mysql security hacking
一点背景知识:我们的 PBX 系统刚刚遭到黑客攻击。服务器本身看起来很安全(没有记录未经授权的控制台访问 - SSH 等),但不知何故,黑客设法将一个新的管理员用户注入 PBX 软件(FreePBX,由 MySQL 支持)。Apache 日志暗示黑客在不使用 Web 界面(或 Web 界面中的任何漏洞)的情况下设法添加了用户。
现在,我发现 MySQL 在没有 root 密码的情况下运行 (!!) 并且公开绑定到外部 IP 地址(显然,我现在已经锁定了它)。然而,MySQL 中唯一的根级别用户是'root'@'localhost'and 'root'@'127.0.0.1',这两个应该只能在本地访问。
所以,我的问题是:
有没有办法欺骗到 MySQL 的连接,以便它允许从远程 IP 地址连接到 'root'@'localhost' 用户,而无需在本地运行任何其他漏洞?
作为参考,该框是运行 Mysql 5.0.95 的 Centos 5(Linux 2.6.10)。
不。
如果您不是来自本地系统, MySQL 永远不会让您登录到具有localhost或主机规范的用户。127.0.0.1请注意,这还涵盖了身份验证绕过漏洞 CVE 2012-2122;密码比较可能会被欺骗,但主机比较不会。
您需要系统上有一些东西来代理以“欺骗”源主机检查。我想到了像 phpmyadmin 这样的东西,或者像 HAProxy 这样运行在 MySQL TCP 端口前面的负载均衡器。
| 归档时间: |
|
| 查看次数: |
2331 次 |
| 最近记录: |