«Google» для уязвимостей.

а зачем вообще выставлять мускуль голой задницей в интернет?

Не знаю. Там много всяких глупостей. Я полазил так, интереса ради, попробовал пологиниться, таблички посмотреть. Где-то прикрыли, где-то так и висит, либо без пароля, либо root либо live. В heartbleed разделах можно найти пары логин:пароль. Что при известном IP и портах не оставляет шансов.

Может, в каких-то дистрибутивах он по умолчанию на 0.0.0.0 слушает.

чтобы разработчики могли работать с базой на сервере, сидя дома

Для этого придумали впн.

Поищите по запросу password - куча БД с паролями рута, просто делаем

погоди, а где пароль брать? Там ведь чё-то типа «myBivT?63», не?

Ну и выставление mysql голой жопой в инет — типичное ССЗБ.

я всегда это делал по ssh, прямо с локалхоста.

Ну там же указано

----- openmysql -----
 User root Password: 

....

Это значит без пароля. Или будет пароль типа root, live, mysql (самые любимые публикой):

----- openmysql -----
 User root Password: root

....

Бгг. На игрушки себе штоль бабла найти?

С mongodb какое-то время так было по дефолту.

Нашел пейпел аккаунты одной мелкой зарубежной компании. Там денег в сумме ~ $4000. Маловато, т.ч. пришлось написать им письмо, с описание проблемы. ЧСХ, до сих пор не ответили.

Hint: часть диванных создателей сайтов и иже с ними хранит адреса bitcoin кошельков пользователей вместе с приватными ключами. Такие вот дела.

Там денег в сумме ~ $4000. Маловато

Ну и аппетиты у тебя.

Это значит без пароля. Или будет пароль типа root, live, mysql (самые любимые публикой)

обычно хомячьё юзает вебинтерфейс, а там пароль сам генерится типа ":u1mi7NJy" (у меня даже есть скриптик на JS для этого).

Ну или одмин хостинга выдаёт тож:u1mi7NJyе что-то похожее.

Ну там же указано

где «там»?

Кстати, в mysql AFAIK пароль в базе не хранится, а хранится только хеш. И хрен ты подберёшь по хешу пароль вроде «fhGZyr65\».

Еще раз. Заходишь по линку. Ищещь по кейворду, который нужен (ну там account, transaction, porno и т.д. в зависимости от интересов).

В таблице результатов есть колонка Tags. В ней либо heartbleed - это дампы памяти (иногда там можно найти данные авторизации, я так попал в почту какого-то сотрудника какой-то австралийской фирмы), либо weakmysql, тогда в поле User root Password: будет указан пароль от ьускуля (или пустое место, если без пароля можно зайти на мускуль). Как зайти, я уже писал. Либо mongo, тогда делаем mongo <hostip>/<dbname>, там вообще пароли не нужны.

Там денег в сумме ~ $4000. Маловато

Ну и аппетиты у тебя.

это не просто $4000, а ворованные $4000, за которые могут навесить вполне реальный срок. И навесят, ибо давно пора найти козла отпущения, на которого можно повесить все случаи нераскрытого кибер-мошенничества. Т.е. конечно украсть эти $4000 реально, но если учесть стоимость подготовки, то выгода будет скорее отрицательна. А если без подготовки, то поймают и посадят.

Как зайти, я уже писал.

я знаю, как заходить. Вот только это не проблема СУБД обеспечивать локальную безопасность хоста. И если кто-то эту безопасность ВООБЩЕ не обеспечивает, то это проблема этого кого-то.

ЧСХ, до сих пор не ответили.

ЧСХ не удивительно. Либо они забили окончательно на этот хост, либо это «медовая ловушка», для таких кулхацкеров, как ты.

Вот только это не проблема СУБД обеспечивать локальную безопасность хоста. И если кто-то эту безопасность ВООБЩЕ не обеспечивает, то это проблема этого кого-то.

Как-будто я говорил, что СУБД должна это делать. Не понимаю сути обсуждения. Я сказал, что можно найти логин/пароль баз данных и воспользоваться этим. И все.

для таких кулхацкеров, как ты.

Никогда не считал себя «кулхацкером». Я ради интереса могу посмотреть, а деструктивное что-то делать мне просто лень. К тому же я ничего не «взламываю», лишь пользуюсь уже готовыми результатами.

Как-будто я говорил, что СУБД должна это делать

но ты почему-то удивлялся, что она этого не делает. Я не понимаю, что тут удивительного? Вот shell тоже не сопротивляется, когда ты там rm -rf * набираешь.

Никогда не считал себя «кулхацкером». Я ради интереса могу посмотреть, а деструктивное что-то делать мне просто лень. К тому же я ничего не «взламываю», лишь пользуюсь уже готовыми результатами.

тогда внимательно ознакомься с этой цитатой:

1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, -

наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

2. Деяние, предусмотренное частью первой настоящей статьи, если оно повлекло тяжкие последствия или создало угрозу их наступления, -

наказывается принудительными работами на срок до пяти лет либо лишением свободы на тот же срок.

Если ты в украшке, то там тоже самое прописано.

по запросу password

Попробуй еще по запросу: «Welcome to phpMyAdmin» вообще будет много веселого

но ты почему-то удивлялся, что она этого не делает.

Разве? Где? Не помню такого (мб и было).

тогда внимательно ознакомься с этой цитатой:

Кем меня считает УК мне все равно. Глупо использовать базу уязвимостей и называть себя хакером, да? Тем более, что я им и не являюсь.

но ты почему-то удивлялся, что она этого не делает.

Разве? Где? Не помню такого (мб и было).

с первого поста.

Кем меня считает УК мне все равно. Глупо использовать базу уязвимостей и называть себя хакером, да? Тем более, что я им и не являюсь.

УК считает тебя уголовным преступником, а не хакером. Если ты «просто использовал», то ты просто хулиган, а если выгоду извлекал — просто вор. Ничего личного, dura lex sed lex.

Ну а «хакер» это ИМХО несколько другое. Хакер вполне может быть и вором и банальным хулиганом. А может и не быть.

с первого поста.

Ну ОК.

УК считает тебя уголовным преступником, а не хакером. Если ты «просто использовал», то ты просто хулиган, а если выгоду извлекал — просто вор. Ничего личного, dura lex sed lex.

Я и не спорю. Лишь говорю, что мне все равно, кем УК меня считает.

Ну а «хакер» это ИМХО несколько другое. Хакер вполне может быть и вором и банальным хулиганом. А может и не быть.

Согласен.