Выявление эксплойта MySQL для инъекций
Я знаю кого-то, чей сервер с cPanel/WHM и phpBB 3.0.x подвергся атаке MySQL-инъекции против phpBB (или его плагина). Некоторая информация была утечка, но мы не знаем степень утечки. Можно ли определить, какая информация просочилась, изучив журналы? Спасибо!
1 ответ
Можете ли вы определить, были ли украдены соответствующие данные?
Потенциально да.
Если злоумышленник использовал только SQL-инъекцию и не смог продолжить повышение привилегий, вероятно, системные журналы все еще надежны. Это может позволить вам проследить некоторые шаги злоумышленников.
Дело в том, что, например, по умолчанию большинство веб-серверов регистрируют запрошенные URL-адреса и, хотя они обычно содержат параметры запроса GET, они не содержат значений параметров для запросов POST.
То же самое относится и к серверу базы данных MySQL, в производственных системах очень редко регистрируются все запросы, поскольку вы потенциально можете собирать огромное количество событий MySQL, а более часто используемый журнал транзакций записывает только запросы, которые обновляют базу данных, а не SELECT. заявления, которые могли быть использованы для кражи ваших данных.
Возможно, вам повезет, и вы найдете скрипты / двоичные файлы, которые были загружены или загружены злоумышленником.
На практике, вероятно, нет