2. Fórumok
  3. OS, alkalmazások
  4. Linux haladóknak
  5. (kiemelt téma)
  • Téma összefoglaló
    Utoljára frissítve: 2013-09-30 15:51

    LOGOUT

    Mára a ProHardver!/IT.News Fórum is nagylétszámú Linuxban jártas taggal büszkélkedhet. Nehéz szinteket felállítani egy olyan rendszer ismeretében, ami annyira sokrétű, hogy teljesen szinte lehetetlen megismerni minden egyes részét. Azt azonban mindenki tudja, hogy kezdő-e vagy sem. Elsősorban nekik szólnak az alábbiak, de érdemes mindenkinek elolvasnia, mint útjelző táblát.

Új hozzászólás Aktív témák

  • #7687 The DJ addikt
    Új Válasz #7687
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    The DJ

    addikt

    Na most egy kivételesen komoly és sürgető kérdésem lenne hozzátok. A tegnapi nap folyamán az egyik Debian (Etch) szerverünket "feltörték". Azért tettem idézőjelbe, mert valószínűleg a szó nem teljesen helytálló, ugyanis a PHPMyAdmin felületére sikerült nekik valahogyan bejutni.

    Sok más egyéb (teljesen legális!) program mellett adott a szerveren futó X darab Verlihub típusú DC-Hub szoftver, ezek némelyikén akár több mint 1000 felhasználó. Már lassan 4-5 éve, hogy DC-zem és hubokat adminisztrálok/futtatok, ismerem azt a világot. Mindig voltak olyanok, akik nem éppen szabályos eszközökkel akartak felhasználókhoz jutni és olyanok is, akik abban lelték örömüket, hogy mások több éves munkáját próbálták tönkretenni (a flood, DDoS arrafelé mindennapos dolog).
    A tegnapi is egy ilyen akció volt, az egyik 800 fős hubot szemelték ki. Ahogy megtudtam egy magukat "Jedi Enclave Team"-nek nevező lengyel hacker(?) csapat volt. Délután szóltak, hogy gond van, eltűntek a felhasználók és egy lengyel hubra lettek irányítva. Ezt egyféleképpen lehet kivitelezni, mégpedig ha valaki Class 10-es regisztrációt kap azon a hubon. A regisztrációkat MySQL adatbázis tárolja, ehhez tartozik egy PHPMyAdmin frontend, amit a hub indításakor csak a tulajdonos(ok) kapnak meg. A hubon magán senki nem regisztrált új felhasználót és egyik tulajdonos regisztrációjával sem történt bejelentkezés.

    Nem sokkal ezután megkeresett egy másik szerveres (PH-s érdekeltségű) kolléga, aki szintén futtat verlihubokat. Elmesélte, hogy az ő szerverébe tegnap történt ilyen behatolás és egy 1000 fős hubot irányítottak át ugyanilyen módon arra a lengyel hubra, ezen kívül több másik nagyobb hubnál is megtörtént a héten ugyanez a metódus. Az eddigi ismereteink szerint a PHPMyAdminon keresztül regisztráltak új Class 10-es felhasználót maguknak, amivel át tudták irányítani az embereket. Ezután törölték a felhasználót és eltűntek.

    A kérdésem: Hogyan lehet hogy egyszerre több különböző szerveren is sikerült nekik bejutni ezzel a módszerrel? Milyen rés lehet a PHPMyAdminon, ami ekkora lehetőséget nyújt bárkinek, hogy úgy módosítsa az adatbázisokat, ahogy akarja? Azt kizárom, hogy valaki tudja a root felhasználó jelszavát, mert a lehető legbiztonságosabban van megválasztva és sehol másutt nincs használatban. Amíg ki nem derítem, hogy történt addig letiltásra került a PMA, de ez nem megoldás. Szeretném a rendszert a lehető legbiztonságosabbá tenni és nagyon szeretnék rájönni, hogy hogyan voltak képesek ezt ennyi gépen ilyen pontosan kivitelezni. Esetleg a MySQL-nek van valahol olyan log file-ja, ahova elmentésre kerülnek az ilyen műveletek? Próbáltam böngészni a /var/log-ban, de nem igazán jutottam előbbre.

    Minden építő jellegű ötletet, véleményt szívesen veszünk és nagy segítség lenne, ha rá tudnánk jönni az okra és a megoldásra.

Új hozzászólás Aktív témák