-
Fototrend
Mára a ProHardver!/IT.News Fórum is nagylétszámú Linuxban jártas taggal büszkélkedhet. Nehéz szinteket felállítani egy olyan rendszer ismeretében, ami annyira sokrétű, hogy teljesen szinte lehetetlen megismerni minden egyes részét. Azt azonban mindenki tudja, hogy kezdő-e vagy sem. Elsősorban nekik szólnak az alábbiak, de érdemes mindenkinek elolvasnia, mint útjelző táblát.
Új hozzászólás Aktív témák
-
The DJ
addikt
Na most egy kivételesen komoly és sürgető kérdésem lenne hozzátok. A tegnapi nap folyamán az egyik Debian (Etch) szerverünket "feltörték". Azért tettem idézőjelbe, mert valószínűleg a szó nem teljesen helytálló, ugyanis a PHPMyAdmin felületére sikerült nekik valahogyan bejutni.
Sok más egyéb (teljesen legális!) program mellett adott a szerveren futó X darab Verlihub típusú DC-Hub szoftver, ezek némelyikén akár több mint 1000 felhasználó. Már lassan 4-5 éve, hogy DC-zem és hubokat adminisztrálok/futtatok, ismerem azt a világot. Mindig voltak olyanok, akik nem éppen szabályos eszközökkel akartak felhasználókhoz jutni és olyanok is, akik abban lelték örömüket, hogy mások több éves munkáját próbálták tönkretenni (a flood, DDoS arrafelé mindennapos dolog).
A tegnapi is egy ilyen akció volt, az egyik 800 fős hubot szemelték ki. Ahogy megtudtam egy magukat "Jedi Enclave Team"-nek nevező lengyel hacker(?) csapat volt. Délután szóltak, hogy gond van, eltűntek a felhasználók és egy lengyel hubra lettek irányítva. Ezt egyféleképpen lehet kivitelezni, mégpedig ha valaki Class 10-es regisztrációt kap azon a hubon. A regisztrációkat MySQL adatbázis tárolja, ehhez tartozik egy PHPMyAdmin frontend, amit a hub indításakor csak a tulajdonos(ok) kapnak meg. A hubon magán senki nem regisztrált új felhasználót és egyik tulajdonos regisztrációjával sem történt bejelentkezés.Nem sokkal ezután megkeresett egy másik szerveres (PH-s érdekeltségű) kolléga, aki szintén futtat verlihubokat. Elmesélte, hogy az ő szerverébe tegnap történt ilyen behatolás és egy 1000 fős hubot irányítottak át ugyanilyen módon arra a lengyel hubra, ezen kívül több másik nagyobb hubnál is megtörtént a héten ugyanez a metódus. Az eddigi ismereteink szerint a PHPMyAdminon keresztül regisztráltak új Class 10-es felhasználót maguknak, amivel át tudták irányítani az embereket. Ezután törölték a felhasználót és eltűntek.
A kérdésem: Hogyan lehet hogy egyszerre több különböző szerveren is sikerült nekik bejutni ezzel a módszerrel? Milyen rés lehet a PHPMyAdminon, ami ekkora lehetőséget nyújt bárkinek, hogy úgy módosítsa az adatbázisokat, ahogy akarja? Azt kizárom, hogy valaki tudja a root felhasználó jelszavát, mert a lehető legbiztonságosabban van megválasztva és sehol másutt nincs használatban. Amíg ki nem derítem, hogy történt addig letiltásra került a PMA, de ez nem megoldás. Szeretném a rendszert a lehető legbiztonságosabbá tenni és nagyon szeretnék rájönni, hogy hogyan voltak képesek ezt ennyi gépen ilyen pontosan kivitelezni. Esetleg a MySQL-nek van valahol olyan log file-ja, ahova elmentésre kerülnek az ilyen műveletek? Próbáltam böngészni a /var/log-ban, de nem igazán jutottam előbbre.
Minden építő jellegű ötletet, véleményt szívesen veszünk és nagy segítség lenne, ha rá tudnánk jönni az okra és a megoldásra.
Új hozzászólás Aktív témák
- Audi, Cupra, Seat, Skoda, Volkswagen topik
- Xiaomi 15T - reakció nélkül nincs egyensúly
- Revolut
- OLED monitor topic
- Véleményes teszt bizonygatja mennyit ér a Macbook Neo 8 GB RAM-ja
- VR topik
- AliExpress tapasztalatok
- BMW topik
- S.T.A.L.K.E.R. 2: Heart of Chornobyl
- Házi barkács, gányolás, tákolás, megdöbbentő gépek!
- További aktív témák...
- GAMER PC! Intel i9-12900KF / RX 7900 XTX / 32GB DDR4 /1TB Gen4 / B760 /1350w Platinum! BeszámítOK
- Keresünk Galaxy S23/S23+/S23 Ultra/S23 FE
- Apple iPhone 17 Pro Max 256GB Cosmic Orange Újszerű állapot 100% akku (2 ciklus)
- 196 - Lenovo Legion Pro 5 (16IAX10) - Intel Core U7 255HX, RTX 5070 (ELKELT)
- Dell Pro Plus 14 Core Ultra 5 238V 32GB 512GB FHD+ TouchScreen ProSupport Plus gar: 2028.10.07
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest