Tentative de hack mysql via phpmyadmin
Par Yoann, mercredi 27 juin 2007 à 22:49 :: General :: #92 :: rss
Aujourd'hui, une machine (host-64-92-xxx-xxx.thenewpush.com) a essayé (mais sans succès) de casser le mot de passe root de la base données mysql du serveur sur lequel est hébergé ce site.
Le hacker a en faite fait du brute force sur le login root d'une interface phpmyadmin qui ne devait pas être là ou elle était. (sur le vhost par default http://ip/phpmyadmin/)
Après avoir reçus une alerte SMS sur une température anormalement élevée du processeur (chose qui ce produit lorsque le CPU tourne à plus de 80% pendant plus de 5 minutes) et en regardant l'utilisation CPU de chaques process avec la commande top, j'ai tout de suite vu que c'etait apache qui utilisait tout le CPU. (note : Apache permet d'accéder à l'interface web phpmyadmin, qui permet d'accéder à la base de données)
Après une analyse rapide des logs, et un coup de server-status, j'ai vite récupéré l'adresse IP et ajouté une régle iptables qui DROP les paquets en provenance de celle-ci.
Le bute du hacker :
- Recupérer les données et les exploiter ? J'ai des doutes ...
- Casser la base de données, histoire de faire chier le mondre ? J'y crois plus ...
Tout ca pour dire qu'aujourd'hui il y a vraiment une population délinquante sur internet...
Faite attention à vous et à vos machines.
Commentaires
1. Le mardi 3 juillet 2007 à 10:38, par cornibus
Ajouter un commentaire