Почему раз в месяц из таблицы БД могут удаляться строки? Как найти дыру?

Question

Александр @librown

На-все-руки-мастер и немного кодер

Почему раз в месяц из таблицы БД могут удаляться строки? Как найти дыру?

Приветствую!
У меня есть самописный проект на mysql и php.
Раз в месяц примерно в один и тот же день (+- 1-2 дня) в одной из важных таблиц в БД удаляется часть строк.
Заметил, что это строки из начала таблицы. Всегда одни и те же: с 1 по 3397.
Проверил КРОН - ничего подозрительного не нашел.
Подскажите, куда копать? Как найти "дыру"?
Не имею опыта в этом деле, спасибо!

Вопрос задан более трёх лет назад
665 просмотров

8 комментариев

Подписаться 6 Оценить 8 комментариев

Кирилл Пензин @kir_vesp

Покажите для начала список задач крона и скрипты, которые выполняют это.

Написано более трёх лет назад
Кирилл Пензин @kir_vesp

Также, неплохо было бы знать, что у вас со свободной памятью на сервере. И количество строк в таблице, маловероятно, что вы выходите за пределы, но всё же.

Написано более трёх лет назад
Александр @librown Автор вопроса

Сейчас разбираю логи, нашел такие подозрительные строки:
"UPDATE city SET view='18495' WHERE id = '6 and ascii(substring((database()),7,1))<103'"
"UPDATE city SET view='18491' WHERE id = '6 and Length((database()))<32'"
"UPDATE city SET view='18511' WHERE id = '6 and Length((select distinct table_name from `information_schema`.tables where table_schema=0x73756E74696D65 limit 0,1))<32'"

Написано более трёх лет назад
Александр @librown Автор вопроса

Кирилл Пензин: строк не много, около 6000, в этой таблице. Память свободная есть.

Написано более трёх лет назад
Александр @librown Автор вопроса

Кирилл Пензин: в кроне только один простой скрипт висит, выполняющийся каждую минуту. Он не может влиять.

Написано более трёх лет назад
Кирилл Пензин @kir_vesp

Александр: Вам про экранирование уже написали. Вы учитывали это при получении данных извне?

Написано более трёх лет назад
Александр @librown Автор вопроса

Кирилл Пензин: За годы там столько запросов собралось, что может где-то и упустил экранирование. Пойду все проверять. Спасибо.

Написано более трёх лет назад
Макс @AloneCoder

Экранировать надо и использовать pdo!

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 5

Комментировать

1 комментарий

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Веб-разработка

Простой
Как сделать чтобы при нажатии на кнопку или сылку в div блоке открывалась галерея?
- 1 подписчик
- 21 час назад
- 29 просмотров
0

ответов
Python

+2 ещё

Простой
Срабатывает антивирус на скомпилированный файл python, как исправить?
- 1 подписчик
- вчера
- 180 просмотров
1

ответ
MySQL

+1 ещё

Простой
Как извлечь топ 15 очков из таблицы чтобы игроки не дублировались?
- 1 подписчик
- вчера
- 100 просмотров
1

ответ
Веб-разработка

Простой
Почему сайт отображается некорректно?
- 1 подписчик
- вчера
- 132 просмотра
3

ответа
JavaScript

+1 ещё

Простой
Существуют ли браузерные реализации WebView для AJAX и Fetch?
- 1 подписчик
- 22 апр.
- 87 просмотров
1

ответ
Веб-разработка

Простой
Каково критическое количество HTTP (ajax) запросов на сервер, как его расчитать?
- 1 подписчик
- 21 апр.
- 86 просмотров
3

ответа
Веб-разработка

+1 ещё

Простой
Как реализовать Web-CLI?
- 1 подписчик
- 21 апр.
- 73 просмотра
1

ответ
Веб-разработка

+1 ещё

Средний
Как вывести уведомления в фоновом "WebView"-приложении?
- 1 подписчик
- 21 апр.
- 67 просмотров
2

ответа
MySQL

Простой
Как сохранить mysql базу?
- 1 подписчик
- 21 апр.
- 87 просмотров
1

ответ
PHP

+1 ещё

Простой
Как исправить ошибку Uncaught Error: Call to undefined function mysql_real_escape_string?
- 1 подписчик
- 21 апр.
- 102 просмотра
3

ответа
Показать ещё Загружается…

Веб-разработчик

Искра • Екатеринбург

от 80 000 до 100 000 ₽

Веб-разработчик

Art gorka • Санкт-Петербург

от 60 000 ₽

Веб-разработка и управление IT в Sortage

Sortage • Москва

от 180 000 ₽

В wordpress подключить модуль по рассрочке (документацию дам)

24 апр. 2024, в 11:56

4500 руб./за проект

Лечение и перенос сайта на новый сервер

24 апр. 2024, в 11:55

7000 руб./за проект

Необходимо принять 3 звонка и получить консультацию по Жилому комплекс

24 апр. 2024, в 11:47

450 руб./за проект

Покажите для начала список задач крона и скрипты, которые выполняют это.
Также, неплохо было бы знать, что у вас со свободной памятью на сервере. И количество строк в таблице, маловероятно, что вы выходите за пределы, но всё же.
Сейчас разбираю логи, нашел такие подозрительные строки:
"UPDATE city SET view='18495' WHERE id = '6 and ascii(substring((database()),7,1))<103'"
"UPDATE city SET view='18491' WHERE id = '6 and Length((database()))<32'"
"UPDATE city SET view='18511' WHERE id = '6 and Length((select distinct table_name from `information_schema`.tables where table_schema=0x73756E74696D65 limit 0,1))<32'"
Кирилл Пензин: строк не много, около 6000, в этой таблице. Память свободная есть.
Кирилл Пензин: в кроне только один простой скрипт висит, выполняющийся каждую минуту. Он не может влиять.
Александр: Вам про экранирование уже написали. Вы учитывали это при получении данных извне?
Кирилл Пензин: За годы там столько запросов собралось, что может где-то и упустил экранирование. Пойду все проверять. Спасибо.
Экранировать надо и использовать pdo!

Answer 1 · 2015-04-22 15:05:09

Можно проверить код и проанализировать все запросы, начинающиеся с DELETE, и вычислить, при каких условиях в данном коде они могут выполняться так, чтобы совпадало с проявляемой проблемой.
Сами по себе строки удаляться не могут, поэтому их точно что-то удаляет. А раз так, то проблема должна быть где-то на поверхности

Answer 2 · 2015-04-22 17:05:26

Imho, можно включить журналирование запросов и сразу будет видно кто и каким запросом удалили какие данные -

Answer 3 · 2015-04-22 14:29:28

вопрос однозначно рассчитан на телепатов...
проверить кроны других пользователей системы, смотреть логи апача, ковырять логику системы

Answer 4 · 2015-04-24 20:07:55

На мой взгляд, порядок должен быть таким:

1. Сначала нужно знать права доступа всех пользователей к MySQL
select * from information_schema.user_privileges;

2. Чтобы действовать наверняка, стоит сменить пароль пользователя (надеюсь используется не root)
Пользователь БД, который попытается подключиться в очередной раз несанкционированным образом, получит облом.

3. Ограничение доступа пользователям к MySQL
В идеале, пользователь, с которым программа подключается к БД, должен иметь полномочия лишь необходимые для корректной работы. Ограничить можно как по сетевому адресу хоста, указав статический IP адрес, а не маску "%". Также можно ограничить доступ пользователя к MySQL начиная с частной БД (database/schema) до уровня отдельных таблиц и даже колонок.
2.12.4 Securing the Initial MySQL Accounts

4. Как уже посоветовали ранее, нужно найти в программе все запросы DELETE.
В добавок обратить внимание на историю команд в mysql_history

5. Неплохо ещё бы проконсультироваться с экспертами в данной БД.

Answer 5 · 2019-01-17 14:19:28

Первое - это проанализировать логи. Возможно, увидишь запросы, через которые некие злоумышленники пытаются тебя взломать, а результатов является удаление данных. По журналированию запросов выше также дали хороший совет.

Так как проект самописный, то его необходимо обязательно проверять на уязвимости. Как минимум, сканером кода вроде AI-Bolit, и на дыры снаружи с помощью онлайн-инструментов вроде detectify.com, metascan.ru.

Ограничить, конечно же, права на удаление. И сменить на всякий случай доступы, вдруг кто-то периодически заходит к тебе и удаляет данные? ;)

Почему раз в месяц из таблицы БД могут удаляться строки? Как найти дыру?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт