Есть мысли по взлому?

1

1

Сейчас отловил процесс mysqldump'а на базе форума. С прямым указанием -uroot и -p. Беглое исследование логов показало, что на старом движке форума (punbb) была классическая дырка с загрузкой *.php в виде аватара. Через что и был залит простенький бэкдор, позволяющий исполнять eval на PHP.

Это-то дело я убрал, дырку заткнул, пароль поменял, пароли пользователей в БД, к счастью, с солью захешированы, а приватная информация ценности не несёт. Так что проблемы особой нет.

Но мне интересно, как юзер узнал рутовый mysql-пароль. Хранился он только в /root/.my.cnf, у /root права 0700, у .my.cnf — 0600. Веб-сервер работает от отдельного юзера, процесс mysqldump'а шёл тоже от юзера.

Есть мысли?

Ссылка

←	Статистика отклика HDD

Безопасно ли, что бы база смотрела в нэт?

→

Ядрышко старое, local root exploit?

~~iab~~
(22.11.12 23:33:18 MSK)

Ответ на: комментарий от iab 22.11.12 23:33:18 MSK

А, блин, позор мне. Походу, ларчик просто открывался. Рутовый mysql-пароль открытым текстом был в некоторых старых /usr/local/bin скриптах. В .my.cnf его перекинул, новые без указания пароля работают, а старые — остались. Видимо, там автор и пошукал.

Даже удивительно, что ломанули так первый раз за последних лет 7. Последние взломы были ещё во времена насквозь дырявого форума SMF.

Ядро сейчас 3.3.8 стоит, всё не рискну без IP-KVM его обновить :)

~~KRoN73~~ ★★★★★
(22.11.12 23:38:23 MSK) автор топика