forum.lissyara.su

Привествую, уважаемые, пишу в дев, так как я думаю тут ей самое место:)

Слезно попросили сегодня посмотреть один удаленный сервак на фряхе, на предмет того что у них лег сайт:), который там болтается. и случалось по их словам много раз.
Потратил часа 4 рабочего времени перелапатив все модули апача, мыскуля и т.д на предмет работоспособности а когда нашел в чем дело, немного офигел)))))))))
начал искать причину данной дребедени, и наткнулся на незапароленный pma во внешний мир:).

Откуда руки растут и что курил тамошний "специалист" вопрос номер 1, но не главный:) когда он вися на телефоне сам все восстанавливал, видимо понял что работать там ему осталось до конца мес:)

Стал искать кто это такой умный наводит бучу, и в логах апача выгребаю след вешь И тому подобные однотипные записи,

Первый ип, это адрес анонимной прокси, скорее всего.
Есть ли возможность узнать адрес, за ней, т.е первоначальный отправитель, который удалял рута через pma?

нет

Ну если это "элитный" прокси - не узнаешь. А так, если только в скриптах присутствовали переменные окружения HTTP_X_FORWARDED_FOR, FORWARDED_FOR, HTTP_XROXY_CONNECTION, HTTP_CLIENT_IP, HTTP_VIA и т.д., возможно если только это был не совсем анонимный прокси, и то, если создавалась таким образом база посетителей.

Пусто, ну да бог с ним, сервак не мой, pma я запаролил и предупреждение поставил скидываться админу, о попытках перебора пароля.

Просто задевает факт, что чел, который за все тамошнее хозяйство отвечает пришел туда год назад, когда я там еще работал, на в два раза большую зп, с клятвенным уверением, что обеспечит компании отказоустойчивую плошадку для размешения сайтов))).

Заходи, делай дамп, правь код и т.д)))) вывеску можно было вещать:)

обеспечил блин:). пять балов просто.

Amadeus писал(а):Пусто, ну да бог с ним, сервак не мой, pma я запаролил и предупреждение поставил скидываться админу, о попытках перебора пароля.

Просто задевает факт, что чел, который за все тамошнее хозяйство отвечает пришел туда год назад, когда я там еще работал, на в два раза большую зп, с клятвенным уверением, что обеспечит компании отказоустойчивую плошадку для размешения сайтов))).

обеспечил блин:). пять балов просто.

Гы-гы. Обеспечил, да уж, MySQL наружу выставил, да так что root'a удалили
Ну да ладно, речь не о нем. Запаролить - это, конечно, хорошо.
Я бы на твоем месте все-таки PMA пустил через 443 порт, с принудительной сертификацией + htpasswd (который в свою очередь в итоге будет через SSL проходить).
В этом случае даже по сути никакие "защиты" от брутфорса не нужны, типа таблиц pf overload и т.п.
А вообще, довел бы это дело до его начальства, тем более если ты там им не чужой. А то ведь скажет, что это он проблему решил. Обидно немножко будет, да и ты прав в этой ситуации

Вопрос не по теме маля..
Вижу что в MySQL'e удалили всех пользователей остался какой-то левак KompiError -- который может зайти с любого хоста с наружи, а чё причиной послужило не понял, что такое pma?

NIK писал(а):Вопрос не по теме маля..
Вижу что в MySQL'e удалили всех пользователей остался какой-то левак KompiError -- который может зайти с любого хоста с наружи, а чё причиной послужило не понял, что такое pma?

PhpMyAdmin. Когда тупо root'a прописываешь в конфиге ))

reLax писал(а):

NIK писал(а):Вопрос не по теме маля..
Вижу что в MySQL'e удалили всех пользователей остался какой-то левак KompiError -- который может зайти с любого хоста с наружи, а чё причиной послужило не понял, что такое pma?

PhpMyAdmin. Когда тупо root'a прописываешь в конфиге ))

пасиб=) действительно тупо эт даже не взлом! походу ему пароль впадло было всегда вводить...