Új hozzászólás Aktív témák

• #7687 The DJ addikt

  Új Válasz 2009-04-19 16:36:15 #7687

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  The DJ

  addikt

  Na most egy kivételesen komoly és sürgető kérdésem lenne hozzátok. A tegnapi nap folyamán az egyik Debian (Etch) szerverünket "feltörték". Azért tettem idézőjelbe, mert valószínűleg a szó nem teljesen helytálló, ugyanis a PHPMyAdmin felületére sikerült nekik valahogyan bejutni.

  Sok más egyéb (teljesen legális!) program mellett adott a szerveren futó X darab Verlihub típusú DC-Hub szoftver, ezek némelyikén akár több mint 1000 felhasználó. Már lassan 4-5 éve, hogy DC-zem és hubokat adminisztrálok/futtatok, ismerem azt a világot. Mindig voltak olyanok, akik nem éppen szabályos eszközökkel akartak felhasználókhoz jutni és olyanok is, akik abban lelték örömüket, hogy mások több éves munkáját próbálták tönkretenni (a flood, DDoS arrafelé mindennapos dolog).
  A tegnapi is egy ilyen akció volt, az egyik 800 fős hubot szemelték ki. Ahogy megtudtam egy magukat "Jedi Enclave Team"-nek nevező lengyel hacker(?) csapat volt. Délután szóltak, hogy gond van, eltűntek a felhasználók és egy lengyel hubra lettek irányítva. Ezt egyféleképpen lehet kivitelezni, mégpedig ha valaki Class 10-es regisztrációt kap azon a hubon. A regisztrációkat MySQL adatbázis tárolja, ehhez tartozik egy PHPMyAdmin frontend, amit a hub indításakor csak a tulajdonos(ok) kapnak meg. A hubon magán senki nem regisztrált új felhasználót és egyik tulajdonos regisztrációjával sem történt bejelentkezés.

  Nem sokkal ezután megkeresett egy másik szerveres (PH-s érdekeltségű) kolléga, aki szintén futtat verlihubokat. Elmesélte, hogy az ő szerverébe tegnap történt ilyen behatolás és egy 1000 fős hubot irányítottak át ugyanilyen módon arra a lengyel hubra, ezen kívül több másik nagyobb hubnál is megtörtént a héten ugyanez a metódus. Az eddigi ismereteink szerint a PHPMyAdminon keresztül regisztráltak új Class 10-es felhasználót maguknak, amivel át tudták irányítani az embereket. Ezután törölték a felhasználót és eltűntek.

  A kérdésem: Hogyan lehet hogy egyszerre több különböző szerveren is sikerült nekik bejutni ezzel a módszerrel? Milyen rés lehet a PHPMyAdminon, ami ekkora lehetőséget nyújt bárkinek, hogy úgy módosítsa az adatbázisokat, ahogy akarja? Azt kizárom, hogy valaki tudja a root felhasználó jelszavát, mert a lehető legbiztonságosabban van megválasztva és sehol másutt nincs használatban. Amíg ki nem derítem, hogy történt addig letiltásra került a PMA, de ez nem megoldás. Szeretném a rendszert a lehető legbiztonságosabbá tenni és nagyon szeretnék rájönni, hogy hogyan voltak képesek ezt ennyi gépen ilyen pontosan kivitelezni. Esetleg a MySQL-nek van valahol olyan log file-ja, ahova elmentésre kerülnek az ilyen műveletek? Próbáltam böngészni a /var/log-ban, de nem igazán jutottam előbbre.

  Minden építő jellegű ötletet, véleményt szívesen veszünk és nagy segítség lenne, ha rá tudnánk jönni az okra és a megoldásra.

Új hozzászólás Aktív témák