анонимные прокси:)

[Amadeus]

Привествую, уважаемые, пишу в дев, так как я думаю тут ей самое место:)

Слезно попросили сегодня посмотреть один удаленный сервак на фряхе, на предмет того что у них лег сайт:), который там болтается. и случалось по их словам много раз.
Потратил часа 4 рабочего времени перелапатив все модули апача, мыскуля и т.д на предмет работоспособности а когда нашел в чем дело, немного офигел)))))))))

Код: Выделить всё

[root@mx /]# mysql -be 'select user, host from mysql.user;'
+------------+------+
| user       | host |
+------------+------+
| KompiError | %    |
+------------+------+

начал искать причину данной дребедени, и наткнулся на незапароленный pma во внешний мир:).

Откуда руки растут и что курил тамошний "специалист" вопрос номер 1, но не главный:) когда он вися на телефоне сам все восстанавливал, видимо понял что работать там ему осталось до конца мес:)

Стал искать кто это такой умный наводит бучу, и в логах апача выгребаю след вешь

Код: Выделить всё

66.249.71.148 - - [12/Nov/2009:10:20:50 +0300] "GET /projects/phpadmin/server_pr                                                              ivileges.php?lang=en-utf-8&convcharset=iso-8859-1&collation_connection=utf8_gene                                                              ral_ci&token=bf6e4260b59a226cea8e3892093537b6&username=root&hostname=localhost&d                                                              bname=&tablename=&phpMyAdmin=E4AjHME2pF%2CEPDy7wv6fFtc342d HTTP/1.1" 200 3102 "-                                                              " "Mozilla/5.0 ......"

И тому подобные однотипные записи,

Первый ип, это адрес анонимной прокси, скорее всего.
Есть ли возможность узнать адрес, за ней, т.е первоначальный отправитель, который удалял рута через pma?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

нет

[reLax]

Ну если это "элитный" прокси - не узнаешь. А так, если только в скриптах присутствовали переменные окружения HTTP_X_FORWARDED_FOR, FORWARDED_FOR, HTTP_XROXY_CONNECTION, HTTP_CLIENT_IP, HTTP_VIA и т.д., возможно если только это был не совсем анонимный прокси, и то, если создавалась таким образом база посетителей.

[Amadeus]

Пусто, ну да бог с ним, сервак не мой, pma я запаролил и предупреждение поставил скидываться админу, о попытках перебора пароля.

Просто задевает факт, что чел, который за все тамошнее хозяйство отвечает пришел туда год назад, когда я там еще работал, на в два раза большую зп, с клятвенным уверением, что обеспечит компании отказоустойчивую плошадку для размешения сайтов))).

Заходи, делай дамп, правь код и т.д)))) вывеску можно было вещать:)

обеспечил блин:). пять балов просто.

[reLax]

Пусто, ну да бог с ним, сервак не мой, pma я запаролил и предупреждение поставил скидываться админу, о попытках перебора пароля.

Просто задевает факт, что чел, который за все тамошнее хозяйство отвечает пришел туда год назад, когда я там еще работал, на в два раза большую зп, с клятвенным уверением, что обеспечит компании отказоустойчивую плошадку для размешения сайтов))).

обеспечил блин:). пять балов просто.

Гы-гы. Обеспечил, да уж, MySQL наружу выставил, да так что root'a удалили
Ну да ладно, речь не о нем. Запаролить - это, конечно, хорошо.
Я бы на твоем месте все-таки PMA пустил через 443 порт, с принудительной сертификацией + htpasswd (который в свою очередь в итоге будет через SSL проходить).
В этом случае даже по сути никакие "защиты" от брутфорса не нужны, типа таблиц pf overload и т.п.
А вообще, довел бы это дело до его начальства, тем более если ты там им не чужой. А то ведь скажет, что это он проблему решил. Обидно немножко будет, да и ты прав в этой ситуации

[NIK]

Вопрос не по теме маля..
Вижу что в MySQL'e удалили всех пользователей остался какой-то левак KompiError -- который может зайти с любого хоста с наружи, а чё причиной послужило не понял, что такое pma?

[reLax]

Вопрос не по теме маля..
Вижу что в MySQL'e удалили всех пользователей остался какой-то левак KompiError -- который может зайти с любого хоста с наружи, а чё причиной послужило не понял, что такое pma?

PhpMyAdmin. Когда тупо root'a прописываешь в конфиге ))

[NIK]

Вопрос не по теме маля..
Вижу что в MySQL'e удалили всех пользователей остался какой-то левак KompiError -- который может зайти с любого хоста с наружи, а чё причиной послужило не понял, что такое pma?

PhpMyAdmin. Когда тупо root'a прописываешь в конфиге ))

пасиб=) действительно тупо эт даже не взлом! походу ему пароль впадло было всегда вводить...