MySQL, ben ik gehacked?

Middag,

zojuist ben ik erachter gekomen dat ik een aantal tabellen verloren records hebben. Van andere databases zijn ze compleet gewist. Ik vroeg me af hoe dit kwam dus ik ging naar de logs kijken. Deze bleek op 0 te staan. Timestamp was vandaag om 10:03.

Nou vroeg ik mezelf af hoe deze persoon toegang heeft weten te verschaffen. MySQL draaide wel chrooted gelukkig en staat alleen lokale verbindingen toe. Hoe heeft deze persoon dan toch een hoop kunnen verwijderen? Een wachtwoord van 16+ karakters lijkt me nogal een langdradig werk om dat te bruteforcen..

Ik had versie 5.0.18 draaien.. Deze is inmiddels geupgrade maar nog niet draaiend omdat ik toch misschien wat over het hoofd gezien heb. Overigens heb ik ook niks terug kunnen vinden in de apache logs en via last heb ik ook niemand zien inloggen.

Boudewijn schreef op maandag 13 maart 2006 @ 15:27:
wie zegt dat iemand alleen in je mysql is gekomen?

Dat zeg ik omdat deze in een chrooted jail draait.

bij een onverwachte reboot+dode logs is het bij mij trouwens al gewoon reinstall (en dan gentoo, dus dat is niet grappig).


Sowieso: hoe heb je de connecties afgeschermd?

gewoon keihard in de config no-networking oid opgegeven?

MySQL is niet gereboot. De logs zijn gewoon leeg. op mysqld.err na. Daar staat overigens niks in. Verder netwerk gewoon keihard uitgezet ja, daarnaast staat er een firewall voor en is poortje 3306 niet geforward.

Het kan zo zijn dat iemand een config van een forum oid heeft uitgelezen, als deze user is ingelogd en een beetje je DB heeft getrashed... wat denk je daar van?


tripwire geeft?
chkrootkit geeft?

Er kunnen verder geen users inloggen op de PHP handel die er draait. chkrootkit geeft ook aan dat er niks vreemds te zien is.

TRON schreef op maandag 13 maart 2006 @ 15:32:
Heb je PHP of iets dergelijks draaien? Draai je software wat niet goed afgeschermd is tegen SQL-injection? Oude forum software bijvoorbeeld.

Enigste wat er publiekelijk draait is een Wordpress blogje 2.0.2 waar geen comments geplaatst kunnen worden.

Ik weet dus niet of of ik echt gehacked ben dus. Zou het kunnen dat MySQL gewoon vaag aan het doen was? Waarom denk ik dit? Omdat het deel wat wel publieke beschikbaar is slechts gedeeltelijk weg is (4 records) en wat niet online staat wel helemaal weg is.

[ Voor 9% gewijzigd door zwik op 13-03-2006 15:58 ]