Взлом хостинга, как найти источник SQL-запросов?

Что имеем: VDS на базе Debian
На сайте были обнаружены баннеры. Просмотр логов показал, что проникновение произошло по SSH: Accepted publickey. Это отдельный вопрос, как атакующий залогинился по ключу. Доступ со сторонних IP был закрыт, больше по SSH, ни по FTP никто не входил. В результате поисков (по eval, base64 и т.д.) были найдены шелл-скрипты (даже ссылками на авторов в Github). Они были благополучно удалены, но несмотря на это в одну из баз стали сыпаться SQL-запросы, вставляющие JS-код с редиректами. Поиск еще каких-то "левых" скриптов ни к чему не привел, сканеры типа ai-bolit и Манул, ничего толкового не показали, изучение логов доступа тоже ничего не дало. Запросы идут от локального юзера: user@localhost (удаленный доступ с левых ip закрыт к базе).

Вопрос: возможно ли узнать источник SQL-запросов, какой-нибудь вариацией mysql-proxy или как-то еще? Или в какую копать?
  • Вопрос задан
  • 637 просмотров
Пригласить эксперта
Ответы на вопрос 3
DrunkMaster
@DrunkMaster
Левых скриптов может и не быть, может быть модифицирован один из ваших скриптов в который и была добавлена функция вставки в БД.
Надо посмотреть логи, даты модификации ваших файлов, в идеале всё почистить, файлы перезалить ssh временно отключить, базу регулярками почистить.
Доступ со сторонних IP был закрыт

Скорее всего либо ошибка в закрытии, либо открыт слишком большой диапазон, либо гипотетически если вы ходите через VPN хакер завладел доступом к VPN и с его ip зашёл на сервер что маловероятно.
Ответ написан
xenozauros
@xenozauros
Админю, пишу на питоне, вот это вот все...
Лучше пересетапить всю систему.
В случае компрометации сервера можно так спрятаться, что концов уже не найти.
Ответ написан
Комментировать
StrongServer
@StrongServer
Есть вероятность того, что в системе остался веб-шелл (вот почему от user@localhost идет коннект в базу), которые айболит и манул не обнаружили, скажем закодированный веб-шелл.

Попробуйте поискать в системе новые файлы, появившиеся в системе недавно/со времени предполагаемого взлома, ну а потом посмотреть внутрь этих файлов.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы