我用plesk运行Ubuntu。 在发现一些可疑数据后,我开始logging所有查询。 几个小时后…看起来像是有人创build了一个数据库,并试图插入一个新的用户到mysql.user表中。
从那以后,我为Plesk创build了新的密码并更新了Plesk。 我注意到Plesk更新说明,他们修复了一个安全问题。 也许这是怎么一个人进来?
我希望我只是偏执
750 Connect admin@localhost on 750 Query SELECT VERSION() 748 Query select `name`,`version` from Components 750 Query create database `BUG115166_19826690404F97A4DB6CCAB` /*!40101 default charset=utf8 */ 750 Query create database `bug115166_19826690404f97a4db6ccab` /*!40101 default charset=utf8 */ 750 Query insert into mysql.user (Host, User, Password) values ('%', 'bug115166_29609', password('BUG115166_19826690404F97A4DB6CCAB')) 750 Query FLUSH PRIVILEGES 750 Query GRANT ALL ON `BUG115166_19826690404F97A4DB6CCAB`.* to 'bug115166_29609' 751 Connect bug115166_29609@localhost on 751 Query USE `BUG115166_19826690404F97A4DB6CCAB` 751 Query USE `bug115166_19826690404f97a4db6ccab` 751 Init DB Access denied for user 'bug115166_29609'@'%' to database 'bug115166_19826690404f97a4db6ccab' 750 Query REVOKE ALL ON `BUG115166_19826690404F97A4DB6CCAB`.* FROM 'bug115166_29609' 750 Query DELETE FROM mysql.user WHERE User='bug115166_29609' 750 Query FLUSH PRIVILEGES 750 Query drop database if exists `bug115166_19826690404f97a4db6ccab` 750 Query drop database if exists `bug115166_19826690404f97a4db6ccab` 750 Query drop database if exists `BUG115166_19826690404F97A4DB6CCAB` 750 Query drop database if exists `BUG115166_19826690404F97A4DB6CCAB` 751 Quit 750 Query show databases like 'd21193485464f97a4db6c8a9' 750 Query create database `d21193485464f97a4db6c8a9` /*!40101 default charset=utf8 */ 750 Query drop database if exists `d21193485464f97a4db6c8a9` 750 Query drop database if exists `d21193485464f97a4db6c8a9` 另请参见奇怪的MySQL用户创build(例如bug115166_10073)而不是我 。
在谷歌search一下,看起来这是在普莱斯克相对普遍的事件。 考虑到它的普遍性,我想知道这是否是某种内部Plesk进程定期检查某种types的错误(因此用户的命名以及它从本地主机连接的事实)。 但是,我没有证据可以certificate这一点,所以这可能是一个虚假的主导。
无论如何,你绝对要locking这一点。 考虑到你有一个时间戳,查看你的访问日志的时间戳,试图确定是否有任何相应的请求。 真正的问题不在于这些GRANT ; 这是有能力运行SQL命令的事实。 find这个漏洞的来源,你会closures实际上很重要的漏洞。