Help, Piratage de l'accès à la base de données

[redpooka]

Au secour, j'ai un gros problème ! <BR> <BR>Le serveur est sous unix. <BR> <BR>Hier la base de données c'est fait hacker, une personne a modifié les droits d'accès des utilisateurs. Donc impossibilité de connexion. <BR> <BR>Formatage du serveur, puis on change tout les mots de passes, on remet les fichiers php... <BR> <BR>Puis aujourd'hui BLAM !!! Ca recommence plus aucun accès à la BD vu qu'une personne a encore modifié. <BR> <BR>Dans l'access log à l'heure du changement de mot de passe j'ai ceci <BR> <BR>ipdugars [27/Oct/2003:15:13:32 +0100] "GET / HTTP/1.1" 200 1291 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" <BR>uneautreip [28/Oct/2003:09:40:52 +0100] "GET / HTTP/1.1" 200 1291 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr-FR; rv:1.0.2) Gecko/20030208 Netscape/7.02" <BR> <BR>Donc que faire ? Comment fait-il ? <BR> <BR>Merci

[nemesis]

t'as pas plutôt les logs de ton serveur de base de donnée? <BR>c koi kom base et c'est qu'elle type d'env php? <BR>@+

[cpomalo]

Salut <BR> <BR>avec + d'info sur le software ce serai mieux <BR> <BR>claude

[elbibelo64]

Il faudrait les logs de ton serveur de BD et les versions du PHP et du serveur WWW. <BR> <BR>Avez-vous patché les versions utilisés?

[yannva]

1 : quelle base de données : oracle mysql postgres <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>2 : quels sont les accès ouverts à cette base : uniquement pour un serveur web ou autre <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Avec un peu d'infos on pourrait peut être comprendre <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>A + <BR> <BR>Yann

[redpooka]

Base de donnés mySQL 4.01 et puis lors du second hackage 3.23.49, pas eu le temps de le mettre en <BR> <BR>Php 4.1.2 <BR> <BR>Ou peux t on voir les accès à la base de donnés ?

[nemesis]

bon alors déjà une question con tu as mis un mot de passe à l'user root de la base de donnée mysql? <BR> <BR>ensuite est il limité à l'écoute uniquement en local (ie pas de remote user autorisé?) <BR> <BR>enfin tu n'utilise pas de portail style phpnuke? <BR> <BR>et est ce que ton appli qui fait appel a ta mase mysql est protégée contre les sql injections? <BR>en fait le truc qui me gène c'est que pour changer le mot de passe il faut que l'user qui run la requête soit un user privilegié root par exemple (je parle du root mysql qui est totalement différent du root systeme).

[redpooka]

Donc le mot de passe de root est un mot de passe de type complexe, avec majuscule, caractère spéciaux... <BR> <BR>Sinon je n'ai pas vu de faille niveau SQL injection, vu que j'utilise à chaque fois htmlspecialchar couplé avec addslashes. <BR> <BR>Comment on limite à l'écoute uniquement en local ? Comment savoir si c'est activé ?

[cpomalo]

salut <BR> <BR>As tu d'autre service de configuré sur ton serveur?

[nemesis]

bha c'est simple dans ta table users tu dois pas avoir de user du type user@ ou <!-- BBcode auto-mailto start --><a href="mailto:user@ip.">user@ip.</a><!-- BBCode auto-mailto end --> <BR> <BR>Ensuite pas de phpmyadmin ou autre? <BR> <BR>L'user qu'utilise ton appli c'est quel user si c'est root déjà change ça!

[redpooka]

Si phpmyadmin, mais le problème c'est quand j'ai supprimé l'utilisateur root on pouvait encore avoir accès à phpmyadmin et faire des modifs dans la base de donnés

[nemesis]

normal phpmyadmin a son propre utilisateur privilégié ! <BR> <BR>le truc c'est de : <BR> <BR> - mettre un utilisateur non privilégié à l'appli que tu veux faire tourner. <BR> - empêcher l'aces a phpmyadmin par quiconque qui ne serait pas authorisé <BR> - ne pas laisser de remote user sur une base mysql qui en a pas besoin.

[redpooka]

Qu'est ce que le remonte user ?

[yannva]

remote user = utilisateur distant <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>règle N°1 : définir les droits utilisateurs avant toute connexion <IMG SRC="images/smiles/icon_cussing.gif"> <BR> <BR>Yann

[redpooka]

C'est e que j'ai fait sur les utilisateurs distants. <BR> <BR>Comment enlever tout les remote user ?