一点背景知识:我们的 PBX 系统刚刚遭到黑客攻击。服务器本身看起来很安全(没有记录未经授权的控制台访问 - SSH 等),但不知何故,黑客设法将一个新的管理员用户注入 PBX 软件(FreePBX,由 MySQL 支持)。Apache 日志暗示黑客在不使用 Web 界面(或 Web 界面中的任何漏洞)的情况下设法添加了用户。
现在,我发现 MySQL 在没有 root 密码的情况下运行 (!!) 并且公开绑定到外部 IP 地址(显然,我现在已经锁定了它)。然而,MySQL 中唯一的根级别用户是'root'@'localhost'and 'root'@'127.0.0.1',这两个应该只能在本地访问。
所以,我的问题是:
有没有办法欺骗到 MySQL 的连接,以便它允许从远程 IP 地址连接到 'root'@'localhost' 用户,而无需在本地运行任何其他漏洞?
作为参考,该框是运行 Mysql 5.0.95 的 Centos 5(Linux 2.6.10)。