user mysql - bezpečnostní díra jak vrata od stodoly

[RNA]

Po instalaci MySQL (Apache, PHP + Mysql) se vytvořil uživatel mysql. To by ani tak nevadilo, kdyby neměl heslo rovněž mysql, takže se na to kdekdo může přihlásit přes SSH. Navíc jsem měl v VSFTP povoleny všechny lokální uživatele, takže mi tam nějaký ruský nemrcouch  (podle IP byl někde mezi Moskvou a Brjanskem) uploadnul nějaký záškodnický program a pravděpodobně se mu jej nepodařilo spustit, alespoň jsem nikde žádné škody nenašel.
Učinil jsem tato opatření:
- ve VSFTP jsem povolil pouze 3 smysluplné uživatele,
- uživateli mysql jsem změnil heslo na hodně dlouhé a chaotické
- uživateli mysql jsem nastavil shell na /bin/false

Tohle je kus skriptu, který se pokoušel spustit:

Kód: [Vybrat]

echo "${RED} Modificam ssh port la 7000 =)) Asteapta putin... ${WHI}"
sleep 3
rm -rf /etc/ssh/sshd_config
cp sshd_config /etc/ssh/
service sshd reload
/etc/rc.d/sshd restart
/etc/rc.d/init.d/sshd restart
echo "${BLU}Ai ssh pe portul 7000 Sau Nu =) si esti gata haxore. ${WHI}"

Ovšem, jak je možné, že se mi jen tak, jako vedlejší efekt vytvoří uživatel s takovým heslem? 

[mido0258]

Bill Gates seděl u vašeho pc :-D

[Armus69]

v defaultní instaci vsftp jsou local users zakázaný pokud se nepletu, alespon to platí u debianu, mysql nemá mít heslo ani shell,

a to i potvrzuji v čisté instalci

mysql:x:121:130:MySQL Server,,,:/var/lib/mysql:/bin/false

takže díra je jinde tohle už jsou jen zadní vrátka.
bude tam někde rootkit.  

skus http://www.rootkit.nl/projects/rootkit_hunter.html
       http://www.chkrootkit.org/

tech děr si tam udělal patrně víc, zkontroluj všechny usery, jejich shelly, běžící a naslouchající procesy, nestandartní služby, nestandartní adresáře, scripty po startu a to i vše co je v /etc/init.d  neni problém si přidat script třeba do spouštěče apache nebo jiné nenápadné služby. pokud to je počítač jen na hraní a neni tam nic důležitého a není problém v zálohách  tak bych doporučil formát a reinstall, protože najít vše co se tam mohlo dostat neni jen tak a je to na dlouho, muhou být nabouraný základní knihovny atd atd.  Než ale reinstaluješ  skus, najít díru kterou se tam dostal.

V defaultní instalaci se tohle nestane, takže bych to viděl na uživatelskou chybu,, běží apparmor ?

[RNA]

Tak ten rootkit hunter našel toto>
   /usr/sbin/unhide                                         [ Warning ]
   /usr/sbin/unhide-linux26                                 [ Warning ]
jinak všude jinde napsal OK.

Chkrootkit nenašel žádný problém. Já mám pocit, že to nebude tak horké, stroj je za hw firewallem, takže ten port 7000 mu byl na nic a kromě toho jsem kontrolovat ten sshd_config a ten je v pořádku. Sockstat taky nepíše nic podezřelého, všechny porty jsou otevřené zcela legálně.

U VSFTP právě potřebuji lokální uživatele, ale jenom 3, ne všechny.
S přeinstalací to vidím černě, to je šílená práce...

[Armus69]

černě bych viděl to že se mu povedlo změnit user účet a manipulovat s /etc/ssh takže měl root access.