Identificando a exploração de injeção do MySQL [fechada]

1

Eu conheço alguém cujo servidor com cPanel / WHM e phpBB 3.0.x foi vitimado por um ataque de injeção do MySQL contra o phpBB (ou um plugin dele). Certas informações vazaram, mas não sabemos a extensão do vazamento. É possível determinar quais informações vazaram examinando os logs? Obrigada!

    
por Matt Eskridge 02.02.2015 / 19:31

1 resposta

3

Você pode determinar se algum dado relevante foi roubado?

Potencialmente, sim.

Se um atacante só usasse a injeção de SQL e não conseguisse escalar ainda mais os privilégios, as chances são de que os logs do sistema ainda são confiáveis. Isso pode permitir que você rastreie algumas das etapas dos invasores.

O problema é que, por exemplo, por padrão, a maioria dos servidores da Web registra URLs solicitadas e, embora elas normalmente incluam parâmetros de solicitação GET, elas não contêm os valores de parâmetros para solicitações POST.

O mesmo vale para um servidor de banco de dados MySQL, em sistemas de produção é muito incomum registrar todas as consultas, já que você poderia coletar grandes quantidades de eventos MySQL, e o log de transações mais comumente apenas registra consultas que atualizam o banco de dados. e não instruções SELECT que podem ter sido usadas para roubar seus dados.

Você pode ter "sorte" e encontrar scripts / binários, etc., que foram baixados ou baixados pelo invasor.

Na prática, provavelmente não

    
por 02.02.2015 / 20:51

Tags