Piratage Mysql

On Thu, 15 Sep 2011 22:41:21 +0200, Frédéric ZULIAN < zulian@free.fr> wrote:

Je viens de me faire pirater ma base de données MYSQL.

...

Le petit plaisantin, qui m'a envoyé un mail pour m'avertir de son
« exploit » utilise win NT 5 avec HAVIJ v1.15.

Ben c'est déjà ça: au moins tu le sais!!
Celui-là est un délicat et sans doute pas vraiment un cracker.

Il a récupéré toute la base : Identifiant et mdp.
Du coût je n'ose plus redémarrer mon serveur.
Une idée de la parade ?

C'est tout le PB des "applications" web, qui sont à 99% (très) ma l écrites.

Rien ne devrait être mis en Sce sans utiliser au minimum les divers ou tils de
vérification/pénétration qu'on trouve sur le net - sans comp ter mysql qui est
déjà une belle daube de base.
Et normalement le traitement ne devrait jamais être externe, mais incl us dans
la DB (procédures stockées).

Donc pour ton appli, à moins de la réécrire correctement, y' a pas vraiment de
solution.

--
I've run DOOM more in the last few days than I have the last few
months. I just love debugging ;-)
(Linus Torvalds)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110915230633.5c48a57c@anubis.defcon1

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 15/09/2011 22:50, Frédéric ZULIAN a écrit :

Il a récupéré toute la base : Identifiant et mdp.

root // P@ssw0rd ?

Du coût je n'ose plus redémarrer mon serveur.

Une idée de la parade ?

Déjà il faudrait savoir par où il est passé.
Ce n'est peut-être pas MySQL qui a été hacké, mais un soft annexe
connecté à MySQL.

Sinon au pif :
— MySQL et/ou PHPMyAdmin sont-ils en DMZ ?
— Chaque application MySQL a-t-elle son propre compte d'accès, avec un
pass suffisamment robuste et sans aucun droit autre que sur la base
concernée et sans droit admin ?

Le soucis vient peut-être de là déjà…

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOcmiDAAoJEK8zQvxDY4P9N5wH/3OkNcB0PR1+uUzuN7EQYXWF
F9oP4G5FoEXICD10F0OzfrJOvGLFymbl9aMe7/eM+9z0L0QDh4Vg+Xucj3U3n6iw
EFxbzCFOEmHlXS5hY0h4YMaXm9VVLdX+SWXc3pYiWAqV6+NCBaFcMZls5i7PzuDc
icYN9dQ9zJ429X9JBhae8a38yRzGc234ErTdcKKRo0Vq7Hn9ELgxW56Eoqv/TeDq
1BLPNujqzDSfHsXuznG86J5jlUojeMv+JA7DO58rsT0M9a6IUc9n3VuXStjDxejH
yxNRw/DeG0HDAcehFjgo2QVyiv0AhD0Frgrh6Ods3/eeuSusJXzh6JGUyDHD9yw =7OTE
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4e726889$0$7290$426a74cc@news.free.fr

Bonjour,


Le jeudi 15 septembre 2011, Frédéric ZULIAN a écrit...

Je viens de me faire pirater ma base de données MYSQL.
apache 2.2.19-2
mysql-server 5.1.58-1

Le petit plaisantin, qui m'a envoyé un mail pour m'avertir de son
« exploit » utilise win NT 5 avec HAVIJ v1.15.

Les logs du serveur sont ils activés ? Pour retrouver la requête
effectuée. En prod, il y a peu de chances …

Sinon, si tu as quelque chose sur lui (sa machine), tu pourrais
retrouver les pages qu'il a chargées (dans les logs du serveur ouèbe),
et tenter de lancer dessus un outil de pénétration sql.

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110915222607.GB11319@espinasse

Le 15/09/2011 22:41, Frédéric ZULIAN a écrit :

Bonjour,

Je viens de me faire pirater ma base de données MYSQL.
apache 2.2.19-2
mysql-server 5.1.58-1


Le petit plaisantin, qui m'a envoyé un mail pour m'avertir de son
« exploit » utilise win NT 5 avec HAVIJ v1.15.

Il a récupéré toute la base : Identifiant et mdp.

Du coût je n'ose plus redémarrer mon serveur.

Si tu as un PHPMyAdmin accessible il est certainement passé par là, il y
a eu plusieurs alertes de sécurité les mois passés. Il faut protéger
PHPMyAdmin par un .htaccess, ou mieux ne pas autorisé les accès extérieurs.

A+.
--
============================================= | FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto:frederic@juliana-multimedia.com |
==========================Þbian=GNU/Linux==
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4E730FAD.8020503@juliana-multimedia.com

--0015174c439a872ac104ad108ec4
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,

Si tu veux un réel coup de main pour remédier à ce problème il va f alloir
beaucoup plus d'information.
Il est hébergé chez toi ou en data-center ?
Quelle sont les services fonctionnant dessus ? (Apache, MySQL, SSH, Autres
...)
Qu'est ce qui tourné sur ton serveur Apache (Wordpress, ...) ?
Avait tu un firewall ?

Bref, Un max d'info pour que l'on puisse t'orienter.

L.

--0015174c439a872ac104ad108ec4
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,<br><br>Si tu veux un réel coup de main pour remédier à ce pr oblème il va falloir beaucoup plus d&#39;information.<br>Il est héberg é chez toi ou en data-center ?<br>Quelle sont les services fonctionnant d essus ? (Apache, MySQL, SSH, Autres ...)<br>



Qu&#39;est ce qui tourné sur ton serveur Apache (Wordpress, ...) ?<br>Ava it tu un firewall ?<br><br>Bref, Un max d&#39;info pour que l&#39;on puisse t&#39;orienter.<br><font color="#888888"><br>L.</font>

--0015174c439a872ac104ad108ec4--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAOS7NB1HLDTfa7j50R4y-QWUfH9CkSoKWeyP7aNwyVSRyggpBg@mail.gmail.com

Le Thu, Sep 15, 2011 at 11:05:13PM +0200, Aéris écrivait :

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 15/09/2011 22:50, Frédéric ZULIAN a écrit :
> Il a récupéré toute la base : Identifiant et mdp.

root // P@ssw0rd ?

Non, Je viens de me hacker. Le soft scanne le tout
et tu choisis ce que tu veux.

Ce n'est peut-être pas MySQL qui a été hacké,

Il utilise une appli win "HAVIJ" qui hacke MySQL

mais un soft annexe
connecté à MySQL.

Sinon au pif :
??? MySQL et/ou PHPMyAdmin sont-ils en DMZ ?

Oui, pourquoi c'est MAL ?

??? Chaque application MySQL a-t-elle son propre compte d'accès, avec un
pass suffisamment robuste et sans aucun droit autre que sur la base
concernée et sans droit admin ?

Je vais mettre des mdp plus robuste mais je ne pense pas que le prb
viennent de la.

Le soft te propose les fichiers à lire, tu clicques et hop les
identifiants et mdp défilent sur ton écran.

--
Frédéric
F1SXO

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110916213204.GB10051@zulian.com

Le Fri, Sep 16, 2011 at 05:21:39PM +0200, Lucas écrivait :

Bonjour,

Si tu veux un réel coup de main pour remédier à ce problème il va falloir
beaucoup plus d'information.
Il est hébergé chez toi ou en data-center ?

Chez moi

Quelle sont les services fonctionnant dessus ? (Apache, MySQL, SSH, Autres
...)

APACHE 2, Mysql, ssh, FTP

Hack de Mysql :

http://www.xxxxx.be/winedowze/1.29/index.php?page=home&com=%2760

SELECT auteur, titre, date, contenu, icon FROM live_news WHERE id = '60;
You have an error in your SQL syntax; check the manual that corresponds
to your MySQL server version for the right syntax to use near ''60' at
line 1

Passage dans "HAVIJ" et hop on récupére tout ce que l'on veut.

Qu'est ce qui tourné sur ton serveur Apache (Wordpress, ...) ?

Non, rien de spécial

Avait tu un firewall ?

Oui, ports ouverts :

80 8080 22 442 5555 3306

Bref, Un max d'info pour que l'on puisse t'orienter.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110916215353.GC10051@zulian.com

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 16/09/2011 23:40, Frédéric ZULIAN a écrit :

Non, Je viens de me hacker. Le soft scanne le tout
et tu choisis ce que tu veux.

> Ce n'est peut-être pas MySQL qui a été hacké,

Il utilise une appli win "HAVIJ" qui hacke MySQL

HAVIJ nécessite un site web non sécurisé pour fonctionner.
Il se base sur les faiblesses des applications web autour de MySQL, pas
de celles de MySQL directement.

> ??? MySQL et/ou PHPMyAdmin sont-ils en DMZ ?

Oui, pourquoi c'est MAL ?

Parce que pas sécurisés ni fiables justement ?
Les 2 doivent absoluement être mis au mieux derrière un VPN ou un tunnel
SSH, au pire bien sécurisés avec des .htaccess ou autres.

Je vais mettre des mdp plus robuste mais je ne pense pas que le prb
viennent de la.

Non effectivement, HAVIJ fonctionne par injection SQL et peut accéder à
ta base sans avoir d'accès au MySQL.
Mais ça, tant que PHP vivra…

Une « parade » possible est de limiter au maximum les droits des comptes
utilisateurs MySQL.
Un compte par utilisateur et par base de données, des droits
ultra-limités (select / update / delete suffisent généralement), etc.

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOc8dBAAoJEK8zQvxDY4P9mJ4H/1EQhvzkFYoXPzZNjqhtIAO3
YF0Awyf9nBCvSk3cFHdpzT5OMSwYDxzfj75fFknud2BPd1FiQUVLdPBenY5x23QX
Os+s5DB836OSYtTMu37zAyS82kVgvn3JTMq9WCJP+bIOVc6Cn1B37kI/TdJkITPM
qhrtVPOiqZZhk/955zr3R7MgxtMxHc9V1nLp2MoWTry5Hl9t7+itsNONf0uGMXNT
fWr+fI6QBhhMjuWqLMvM2ClgkrYdMvyK4p6995844AYMi/52p8qdQ6w7WjKh/AmD
aaNeIX1L/ieAZI6Xp851Py7oH0m1mHJt03quMlO3HlnUG5YYp2kQahOhp1xjfY4 =PlkW
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4e73c747$0$15056$426a34cc@news.free.fr

On Sat, 17 Sep 2011 00:01:43 +0200, Aéris <aeris@imirhil.fr> wrote:

...

HAVIJ nécessite un site web non sécurisé pour fonctionner.
Il se base sur les faiblesses des applications web autour de MySQL, pas
de celles de MySQL directement.

ben, d'après ce qu'il dit l'accès vers le svr mysql est ouvert (p 3306)

...

Non effectivement, HAVIJ fonctionne par injection SQL et peut accéde r à
ta base sans avoir d'accès au MySQL.
Mais ça, tant que PHP vivra…

ça n'est pas tout à fait vrai: disons plutôt tant que les pr ogrammeurs php
ne contrôleront correctement ni leurs morceaux de code ni les droits d es
fichiers & directories.

Une « parade » possible est de limiter au maximum les droits de s comptes
utilisateurs MySQL.
Un compte par utilisateur et par base de données, des droits
ultra-limités (select / update / delete suffisent générale ment), etc.

Ajoutons: un escaping systématique de toutes les données envoyà ©es vers la DB.

Mais au risque de me répéter, la meilleure parade reste d'inclure le code
"actif" dans la DB (procs stockées); mais je doute qu'à ce jour c e soit facile
(voire même possible à 100%) avec mysql.

--
Quid me anxius sum?
[ What? Me, worry? ]

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110917003712.0eda03b3@anubis.defcon1

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 17/09/2011 00:00, Frédéric ZULIAN a écrit :

Hack de Mysql :

Ce n'est pas un hack de MySQL, mais une injection SQL d'une de tes
applications web.

http://www.xxxxx.be/winedowze/1.29/index.php?page=home&com=%2760
SELECT auteur, titre, date, contenu, icon FROM live_news WHERE id = '60;
You have an error in your SQL syntax; check the manual that corresponds
to your MySQL server version for the right syntax to use near ''60' at
line 1

Voila la faille, ta requète SQL n'est pas protégée contre les injections.
La variable « com » est directement concaténée sans contrôle et sans
échappement à un morceau de SQL, ici apparement
'SELECT auteur, titre, date, contenu, icon FROM live_news WHERE id = '
+ $_GET['com']

Tant que « com » est un nombre, pas de soucis…
SELECT auteur, titre, date, contenu, icon FROM live_news WHERE id = 60
Si « com » devient quelque chose de plus malsain, comme
60+UNION+ALL+SELECT+1%2C+2%2C+3%2C+4%2C+5+FROM+mysql.help_topic+WHERE+1+%3D+1
Boom…

SELECT auteur, titre, date, contenu, icon
FROM live_news
WHERE id = 60
UNION ALL
SELECT 1, 2, 3, 4, 5
FROM mysql.help_topic
WHERE 1 = 1

Et je te dump toute ta table mysql.help_topic…

HAVIJ est juste là pour automatiser l'injection et la remontée des
données des tables.

C'est ton appli qui est merdique au possible (en même temps, avec du
PHP…), pas MySQL sur ce coup-ci.

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOc8yzAAoJEK8zQvxDY4P98BkH/i7KHpOwSZZBNX1jIDBeUTGL
MbqMfP2fJjt3GvCt3oL26cDtCnS/mdERc5nSbcB6pw5lXnZyH16DMM5OaHiMlLiI
xyiyNdlHDkLfE3Xu+b+AzoU8MbWmdC06oCnAmAz3Xdy6hf1CKoVp2z+6nIMyJbWh
g5QannBxgaUQ/2pOq0W7wITkyV2r9J2CvDkeM1/BbuQ33ob9B91VuvnQETpQyV06
Yvx6ZWSDz6cDrP/XZgOtHgKELwKhceMSq6/TbBCGmS7etrNh8pqawEPsdMaTvW4a
Bo1T2NlNQaWsmblVdS8HspwLTDaeQArgrtN92JoCKgZuEbIlFU8ooDDUIaMjstk =5ptw
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4e73ccb9$0$31301$426a34cc@news.free.fr