mysql rinominato

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, ecc.

mysql rinominato

Messaggioda napolisoft » lunedì 4 febbraio 2019, 13:26

Salve a tutti.
uso ubuntu 15.04 dove è presente un db mysql che praticamente viene rinominato di continuo, sono costretto a ricrearlo e reimportare la copia fatta in precedenza..
il db viene rinominato con un nome strano.
visto che la versione di ubuntu è non più supportata ma non posso in questo momento cambiarlo questo server posso fara qualcosa in merito ?
sono riuscito a scaricare clamav ma in fase di instaòllazione mi da:
"error: no acceptable C compiler found in $PATH"

Da precisare che sono abbastanza principiante in merito..
napolisoft
Prode Principiante
 
Messaggi: 7
Iscrizione: gennaio 2019
Sesso: Maschile

Re: mysql rinominato

Messaggioda Stealth » lunedì 4 febbraio 2019, 13:52

Hai postato in "sicurezza" perchè pensi che quel rinominare ricorrente sia dovuto ad una violazione del server? Hai altre cose che te lo facciano pensare? Se sì, il mio consiglio è di affiancare un'altra macchina a quella, con un sistema nuovo e supportato, e farla girare fino a che non sia affidabile. A quel punto spegni la vecchia e usi la nuova. E nel frattempo, abbreviando i tempi il più possibile, vai avanti come puoi. La regola è che un server compromesso non si può aggiustare, si formatta e si ricomincia da zero.
Altrimenti aspetta qualcuno che sappia di db, io non sono abbastanza esperto da aiutarti con mysql
ciao
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 16267
Iscrizione: gennaio 2006
Desktop: Gnome
Distribuzione: Ubuntu 18.04 LTS

Re: mysql rinominato

Messaggioda DoctorStrange » lunedì 4 febbraio 2019, 13:52

I permessi necessari per rinominare un DB devono essere garantiti tramite un'apposita grant, appare dunque sospetto che si verifichi questa procedura.

Prima di tutto: sei certo che sia l'intero DB ad essere rinominato, e non una sua tabella?
Detto questo: mysql dispone di un sistema di log abbastanza verboso, che si trova sotto /var/log/mysql . Ti direi prima di tutto di consultare i suoi log per vedere se riesci a capire, un pò più nel dettaglio cosa succede.

Inoltre indagherei i direzione degli utenti. Probabilmente c'è qualche procedura SQL eseguita da qualche utente, indesiderata.
Avatar utente
DoctorStrange
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1685
Iscrizione: ottobre 2015
Località: Roma, Italia
Desktop: Unity
Distribuzione: Ubuntu 16.04.03 Xenial Xerus
Sesso: Maschile

Re: mysql rinominato

Messaggioda napolisoft » lunedì 4 febbraio 2019, 14:02

ho guardato il log ma è vuoto....
Prima di tutto: sei certo che sia l'intero DB ad essere rinominato, e non una sua tabella? si il database viene completamente rinominato con altro nome
napolisoft
Prode Principiante
 
Messaggi: 7
Iscrizione: gennaio 2019
Sesso: Maschile

Re: mysql rinominato

Messaggioda DoctorStrange » lunedì 4 febbraio 2019, 14:12

Hai i log di mysql vuoti? Potrebbe essere strana questa cosa, visto che il demone mysqld scrive i log. Prova anche a consultare i log sia sul client mysql che sul server, e vedi se ottieni qualche lettura utile.

Poi, da una console mysql connessa al DB sospetto, prova a dare il comando
Codice: Seleziona tutto
show grants for 'nome-utente'@'indirizzo-host-server'
dove devi sostituire a "nome-utente" ed "indirizzo-host-server" rispettivamente l'username con il quale ti connetti a quel DB, e l'indirizzo IP del server mysql interessato.

In questo modo puoi vedere quali grant ha quel particolare utente.
Avatar utente
DoctorStrange
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1685
Iscrizione: ottobre 2015
Località: Roma, Italia
Desktop: Unity
Distribuzione: Ubuntu 16.04.03 Xenial Xerus
Sesso: Maschile

Re: mysql rinominato

Messaggioda Sam9999 » lunedì 4 febbraio 2019, 14:40

Hai provato a cambiare le password di mysql?
Che programmi accedono al DB? quali siti web e con quali plugins?
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1812
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 19.10 (Eoan Ermine)

Re: mysql rinominato

Messaggioda napolisoft » lunedì 4 febbraio 2019, 15:34

come programma accediamo solamente non all'interno per memorizzare dei dati.
dall'esterno invece accedono i miei clienti ma senza che loro lo sanno per verificare il codice di installazione del loro PC dove è installato un mio gestionale.
quindi in realtà sono solo due utenti...
napolisoft
Prode Principiante
 
Messaggi: 7
Iscrizione: gennaio 2019
Sesso: Maschile

Re: mysql rinominato

Messaggioda DoctorStrange » lunedì 4 febbraio 2019, 15:59

napolisoft ha scritto:come programma accediamo solamente non all'interno per memorizzare dei dati.


Puoi chiarire cortesemente cosa intendi dire qui? Che vuol dire che "accedete solamente non all'interno"?

napolisoft ha scritto:dall'esterno invece accedono i miei clienti ma senza che loro lo sanno


Intendi che loro accedono tramite un client, al vostro server, dove sono centralizzate un certo numero di informazioni? In questo caso: in quale maniera accedono? Hai scritto tu stesso le query al DB, o sono procedure automatizzate realizzate da questo non meglio precisato "gestionale"?

napolisoft ha scritto:per verificare il codice di installazione del loro PC dove è installato un mio gestionale.


Qualcosa del tipo che tu, vuoi verificare che abbiano acquistato una sorta di licenza, e gli concedi l'accesso ad opportune risorse, se hanno questo codice?

napolisoft ha scritto:quindi in realtà sono solo due utenti...


Tu puoi accedere con un'utenza di tipo amministratore, e dunque con privilegi superiori, e tutti i tuoi clienti condividono il medesimo utente, e le stesse credenziali di accesso?
Avatar utente
DoctorStrange
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1685
Iscrizione: ottobre 2015
Località: Roma, Italia
Desktop: Unity
Distribuzione: Ubuntu 16.04.03 Xenial Xerus
Sesso: Maschile

Re: mysql rinominato

Messaggioda napolisoft » lunedì 4 febbraio 2019, 16:24

praticamente il gestionale che usano i miei clienti all'interno effettua un controllo tramite PHP e si collega nel db per ricevere la verifica della licenza...
napolisoft
Prode Principiante
 
Messaggi: 7
Iscrizione: gennaio 2019
Sesso: Maschile

Re: mysql rinominato

Messaggioda Sam9999 » lunedì 4 febbraio 2019, 17:53

napolisoft Immagine ha scritto:praticamente il gestionale che usano i miei clienti all'interno effettua un controllo tramite PHP e si collega nel db per ricevere la verifica della licenza...



Si ma non hai detto se hai cambiato le pwd dopo i fatti oppure no ?

A pensarci un po', l'utente client ha di certo solo permessi di lettura, quindi c'è qualcuno che o scala i privilegi o ti fa una sql injection, per usare a sbafo il programma o per solo darti fastidio.
Quindi la pwd di amministratore l'hai solo tu e quella puo' scrivere.
Hai da controllare se il tuo mysql è aggiornato ed il programma di invio richiesta se lascia la possibilità di inviare caratteri non ammessi, anche da programma php.
Se vuoi investigare, serve di certo il log mysql (quindi occorre che lo abiliti in una qualche maniera) e il log degli accessi in modo da incrociare e vedere da dove proviene l'hackeraggio.
Inoltre potrai dopo, in firewall, fare accedere solo ai client che vuoi o bloccare i client ed ip malevoli.

Se poi è solo un errore nel programma e quindi ve lo fa lui.. difficile ma possibile anche quello.
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1812
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 19.10 (Eoan Ermine)


Torna a Sicurezza

Chi c’è in linea

Visualizzano questa sezione: 0 utenti registrati e 2 ospiti