Piratage Mysql
Le
Frédéric ZULIAN

Bonjour,
Je viens de me faire pirater ma base de données MYSQL.
apache 2.2.19-2
mysql-server 5.1.58-1
Le petit plaisantin, qui m'a envoyé un mail pour m'avertir de son
« exploit » utilise win NT 5 avec HAVIJ v1.15.
Il a récupéré toute la base : Identifiant et mdp.
Du coût je n'ose plus redémarrer mon serveur.
Une idée de la parade ?
--
Frédéric
F1sxo
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110915204121.GA11056@zulian.com
Je viens de me faire pirater ma base de données MYSQL.
apache 2.2.19-2
mysql-server 5.1.58-1
Le petit plaisantin, qui m'a envoyé un mail pour m'avertir de son
« exploit » utilise win NT 5 avec HAVIJ v1.15.
Il a récupéré toute la base : Identifiant et mdp.
Du coût je n'ose plus redémarrer mon serveur.
Une idée de la parade ?
--
Frédéric
F1sxo
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110915204121.GA11056@zulian.com
...
Ben c'est déjà ça: au moins tu le sais!!
Celui-là est un délicat et sans doute pas vraiment un cracker.
C'est tout le PB des "applications" web, qui sont à 99% (très) ma l écrites.
Rien ne devrait être mis en Sce sans utiliser au minimum les divers ou tils de
vérification/pénétration qu'on trouve sur le net - sans comp ter mysql qui est
déjà une belle daube de base.
Et normalement le traitement ne devrait jamais être externe, mais incl us dans
la DB (procédures stockées).
Donc pour ton appli, à moins de la réécrire correctement, y' a pas vraiment de
solution.
--
I've run DOOM more in the last few days than I have the last few
months. I just love debugging ;-)
(Linus Torvalds)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Hash: SHA1
Le 15/09/2011 22:50, Frédéric ZULIAN a écrit :
root // ?
Déjà il faudrait savoir par où il est passé.
Ce n'est peut-être pas MySQL qui a été hacké, mais un soft annexe
connecté à MySQL.
Sinon au pif :
— MySQL et/ou PHPMyAdmin sont-ils en DMZ ?
— Chaque application MySQL a-t-elle son propre compte d'accès, avec un
pass suffisamment robuste et sans aucun droit autre que sur la base
concernée et sans droit admin ?
Le soucis vient peut-être de là déjà…
- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iQEcBAEBAgAGBQJOcmiDAAoJEK8zQvxDY4P9N5wH/3OkNcB0PR1+uUzuN7EQYXWF
F9oP4G5FoEXICD10F0OzfrJOvGLFymbl9aMe7/eM+9z0L0QDh4Vg+Xucj3U3n6iw
EFxbzCFOEmHlXS5hY0h4YMaXm9VVLdX+SWXc3pYiWAqV6+NCBaFcMZls5i7PzuDc
icYN9dQ9zJ429X9JBhae8a38yRzGc234ErTdcKKRo0Vq7Hn9ELgxW56Eoqv/TeDq
1BLPNujqzDSfHsXuznG86J5jlUojeMv+JA7DO58rsT0M9a6IUc9n3VuXStjDxejH
yxNRw/DeG0HDAcehFjgo2QVyiv0AhD0Frgrh6Ods3/eeuSusJXzh6JGUyDHD9yw =7OTE
-----END PGP SIGNATURE-----
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4e726889$0$7290$
Le jeudi 15 septembre 2011, Frédéric ZULIAN a écrit...
Les logs du serveur sont ils activés ? Pour retrouver la requête
effectuée. En prod, il y a peu de chances …
Sinon, si tu as quelque chose sur lui (sa machine), tu pourrais
retrouver les pages qu'il a chargées (dans les logs du serveur ouèbe),
et tenter de lancer dessus un outil de pénétration sql.
--
jm
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Si tu as un PHPMyAdmin accessible il est certainement passé par là, il y
a eu plusieurs alertes de sécurité les mois passés. Il faut protéger
PHPMyAdmin par un .htaccess, ou mieux ne pas autorisé les accès extérieurs.
A+.
--
============================================= | FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto: |
==========================Þbian=GNU/Linux==
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Bonjour,
Si tu veux un réel coup de main pour remédier à ce problème il va f alloir
beaucoup plus d'information.
Il est hébergé chez toi ou en data-center ?
Quelle sont les services fonctionnant dessus ? (Apache, MySQL, SSH, Autres
...)
Qu'est ce qui tourné sur ton serveur Apache (Wordpress, ...) ?
Avait tu un firewall ?
Bref, Un max d'info pour que l'on puisse t'orienter.
L.
--0015174c439a872ac104ad108ec4
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Bonjour,
Qu'est ce qui tourné sur ton serveur Apache (Wordpress, ...) ?
--0015174c439a872ac104ad108ec4--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Non, Je viens de me hacker. Le soft scanne le tout
et tu choisis ce que tu veux.
Il utilise une appli win "HAVIJ" qui hacke MySQL
Oui, pourquoi c'est MAL ?
Je vais mettre des mdp plus robuste mais je ne pense pas que le prb
viennent de la.
Le soft te propose les fichiers à lire, tu clicques et hop les
identifiants et mdp défilent sur ton écran.
--
Frédéric
F1SXO
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Chez moi
APACHE 2, Mysql, ssh, FTP
Hack de Mysql :
http://www.xxxxx.be/winedowze/1.29/index.php?page=home&com=%2760
SELECT auteur, titre, date, contenu, icon FROM live_news WHERE id = '60;
You have an error in your SQL syntax; check the manual that corresponds
to your MySQL server version for the right syntax to use near ''60' at
line 1
Passage dans "HAVIJ" et hop on récupére tout ce que l'on veut.
Non, rien de spécial
Oui, ports ouverts :
80 8080 22 442 5555 3306
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Hash: SHA1
Le 16/09/2011 23:40, Frédéric ZULIAN a écrit :
HAVIJ nécessite un site web non sécurisé pour fonctionner.
Il se base sur les faiblesses des applications web autour de MySQL, pas
de celles de MySQL directement.
Parce que pas sécurisés ni fiables justement ?
Les 2 doivent absoluement être mis au mieux derrière un VPN ou un tunnel
SSH, au pire bien sécurisés avec des .htaccess ou autres.
Non effectivement, HAVIJ fonctionne par injection SQL et peut accéder à
ta base sans avoir d'accès au MySQL.
Mais ça, tant que PHP vivra…
Une « parade » possible est de limiter au maximum les droits des comptes
utilisateurs MySQL.
Un compte par utilisateur et par base de données, des droits
ultra-limités (select / update / delete suffisent généralement), etc.
- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iQEcBAEBAgAGBQJOc8dBAAoJEK8zQvxDY4P9mJ4H/1EQhvzkFYoXPzZNjqhtIAO3
YF0Awyf9nBCvSk3cFHdpzT5OMSwYDxzfj75fFknud2BPd1FiQUVLdPBenY5x23QX
Os+s5DB836OSYtTMu37zAyS82kVgvn3JTMq9WCJP+bIOVc6Cn1B37kI/TdJkITPM
qhrtVPOiqZZhk/955zr3R7MgxtMxHc9V1nLp2MoWTry5Hl9t7+itsNONf0uGMXNT
fWr+fI6QBhhMjuWqLMvM2ClgkrYdMvyK4p6995844AYMi/52p8qdQ6w7WjKh/AmD
aaNeIX1L/ieAZI6Xp851Py7oH0m1mHJt03quMlO3HlnUG5YYp2kQahOhp1xjfY4 =PlkW
-----END PGP SIGNATURE-----
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4e73c747$0$15056$
...
ben, d'après ce qu'il dit l'accès vers le svr mysql est ouvert (p 3306)
...
ça n'est pas tout à fait vrai: disons plutôt tant que les pr ogrammeurs php
ne contrôleront correctement ni leurs morceaux de code ni les droits d es
fichiers & directories.
Ajoutons: un escaping systématique de toutes les données envoyà ©es vers la DB.
Mais au risque de me répéter, la meilleure parade reste d'inclure le code
"actif" dans la DB (procs stockées); mais je doute qu'à ce jour c e soit facile
(voire même possible à 100%) avec mysql.
--
Quid me anxius sum?
[ What? Me, worry? ]
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Hash: SHA1
Le 17/09/2011 00:00, Frédéric ZULIAN a écrit :
Ce n'est pas un hack de MySQL, mais une injection SQL d'une de tes
applications web.
Voila la faille, ta requète SQL n'est pas protégée contre les injections.
La variable « com » est directement concaténée sans contrôle et sans
échappement à un morceau de SQL, ici apparement
'SELECT auteur, titre, date, contenu, icon FROM live_news WHERE id = '
+ $_GET['com']
Tant que « com » est un nombre, pas de soucis…
SELECT auteur, titre, date, contenu, icon FROM live_news WHERE id = 60
Si « com » devient quelque chose de plus malsain, comme
60+UNION+ALL+SELECT+1%2C+2%2C+3%2C+4%2C+5+FROM+mysql.help_topic+WHERE+1+%3D+1
Boom…
SELECT auteur, titre, date, contenu, icon
FROM live_news
WHERE id = 60
UNION ALL
SELECT 1, 2, 3, 4, 5
FROM mysql.help_topic
WHERE 1 = 1
Et je te dump toute ta table mysql.help_topic…
HAVIJ est juste là pour automatiser l'injection et la remontée des
données des tables.
C'est ton appli qui est merdique au possible (en même temps, avec du
PHP…), pas MySQL sur ce coup-ci.
- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iQEcBAEBAgAGBQJOc8yzAAoJEK8zQvxDY4P98BkH/i7KHpOwSZZBNX1jIDBeUTGL
MbqMfP2fJjt3GvCt3oL26cDtCnS/mdERc5nSbcB6pw5lXnZyH16DMM5OaHiMlLiI
xyiyNdlHDkLfE3Xu+b+AzoU8MbWmdC06oCnAmAz3Xdy6hf1CKoVp2z+6nIMyJbWh
g5QannBxgaUQ/2pOq0W7wITkyV2r9J2CvDkeM1/BbuQ33ob9B91VuvnQETpQyV06
Yvx6ZWSDz6cDrP/XZgOtHgKELwKhceMSq6/TbBCGmS7etrNh8pqawEPsdMaTvW4a
Bo1T2NlNQaWsmblVdS8HspwLTDaeQArgrtN92JoCKgZuEbIlFU8ooDDUIaMjstk =5ptw
-----END PGP SIGNATURE-----
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4e73ccb9$0$31301$