Крадут пароль от сервера баз данных

отключи рут пароль

нанять квалифицированного работника, очевидно

Это что-ли? CVE-2012-2122: китайский метод взлома MySQL ☺

на сколько я понял в debian 6 64x эта уязвимость не работает. Пытаюсь найти ещё что-то. А вредитель сейчас ломает всё время phpmyadmin (вылетает с ошибками), каким-то образом внутрь папки phpmyadmin попадает файл .travis.yml с содержимым

language: php php: - «5.4» - «5.3» before_script: ./scripts/generate-mo --quiet script: phpunit --configuration phpunit.xml.nocoverage

А вредитель сейчас ломает всё время phpmyadmin (вылетает с ошибками)

Какими именно ошибками?

И вообще если хочешь чтобы тебе помогли - выкладывай логи куда что заливается, используется ли пароль root где то на сервере и зачем тебе нужен общий phpmyadmin.

каким-то образом внутрь папки phpmyadmin попадает файл .travis.yml с содержимым

Этот файл часть phpmyadmin.

Вот с такой ошибкой вылетает $cfg['Servers'][1] = array( 'verbose' => 'MySQL', 'auth_type' => 'cookie', 'host' => 'localhost', 'user' => " );

Общий доступ phpmyadmin нужен, так как служит в виде хостинга для студентов института.

У меня стоит mysql 5.1.66 на 5.5 не могу обновить так как php 5.3 надо. Хочу обновить до 5.1.7 но не пойму как это сделать не удаляя полностью 5.1.66 (баз данных много) и не нужно было пересобирать php

А это то что делает вредитель auth - авторизируется file.attr - добавляет файл file.extract - распаковывает Видно тут запускает через браузер и выполняет скрипт file.delete - удаляет

После этого идёт в БД и начинает ломать базы данных от сайтов

Вычисли его по айпи и пожалуйся его провайдеру. Ну а так-то если у тебя любой желающий может на сервере запустить скрипт - ты явно что-то сделал не так.

Информацию я уже по нему собрал. Но тут сервер бы настроить, он вышел на связь показал пароли от БД, что пишутся в конфигах сайтов. То есть доступ он получил по SSH Порт ранее был нестандартный для входа. В данный момент я закрыл вход в SSH с root , Что бы ещё сделать?

Что бы ещё сделать?

У тебя разные пользователи случайно не имеют общий апач/php?

То есть доступ он получил по SSH

Пароль сложнее чем 12345? Авторизация по SSH ключам? Fail2ban?

Все пользователи в виртуалхостах в одном файле apache2 или как нужно определить общий апач или нет? Пароль очень сложный и меняю всё время. Fail2ban не станет так как я на VPS. Авторизация по SSH ключам (не знаю как это) но сейчас авторизация по root отключена.Это его не остановило, он снова зашёл на сервер, под пользователем nobody и удалил несколько файлов и баз данных от 2 разных пользователей. Авторизации nobody в логах SSH нету. Это нашёл в логах ISPmanager

Посмотреть логи apache, рута, ISP. Возможно есть смысл посмотреть bash_history.Посмотреть наличие левых файлов. В общем найти уязвимость. Если никак - ловить на живца, переустановить все, поставить мониторинги, модули защиты и ждать пока добрый человек спалится как-нибудь.

Ты из хецнера?

Он из страны бухгалтеров. ТСу нужен админ.

В апаче есть что он запускает файл photos.php - что там неизвестно, он его удаляет.

В логах isp вот

nobody auth username=root&password=*&theme=sirius&lang=ru&func=auth

nobody auth username=vjm159&password=*&func=auth&checkcookie=no

nobody auth username=anthony&password=*&theme=sirius&lang=ru&func=auth

У всех пользователей которых авторизирорвался удалил файлы и базы данных.

Пытаюсь найти как сделать за место nobody нормального пользователя.

её разве не пофиксили?

просто так ниоткуда ничего не появляется - смотри где запускает и как могло попасть.(Дай угадаю, залил как картинку?). И проверь права директории сайта или что там у вас.

Да, заливает он fivicon.ico и photos.php это выполняет и получает доступ к root После изучения материала по безопасности, сделал дополнения, полатал дыры, нашёл несколько слабых мест, закрыл. Надеюсь защитился. Жду следующего варварского набега.

реинсталл лучше сделай

После моих дополнений по защите снова был набег варвара. Он мне прислал сообщение, что смена прав на конфигурационных файлах сайта до 444 и 400 мне не поможет. Но после просидел он на сервере часов 5 и не смог ничего сломать. Меня это радует. Но я так и не понял, как он шарился по файлам, почему его не видит SSH и FTP как пользователя при запросе из putty. Каким образом он узнал права на файлы конфигов сайтов. А в логах видел его одну и ту же процедуру, как в прошлый раз, авторизация в ISP, залив файл php - его выполнение, и удаление файла php (на всё 15 мин)

Он залил шелл, увидел что все печально и ушел. Ищи бэкдоры и уязвимости.

я бы еще на что-нибудь вроде http://www.webtatic.com/packages/httpd-itk/ посмотрел бы.

он с тобой играет штоль?

Какой-то нехороший человек, на сервере запускает скрипт
Как от этого защититься?

SELinux или tomoyo защитят от выполнения неожиданных действий непонятно кем.

Какая версия ядра? http://www.opennet.ru/opennews/art.shtml?num=36933

на нём хостятся люди

Welcome to the MATRIX :-)

Может быть и эта проблема была, так как ядро 2.6.32 но после улучшения защиты больше не тревожат.

По сообщениям очевидцев: данный горе-админ (в данном квесте) сам делает это, когда напьется.