web-dev-qa-db-ja.com

MySQLインジェクションエクスプロイトの特定

CPanel/WHMとphpBB3.0.xを搭載したサーバーがphpBB(またはそのプラグイン)に対するMySQLインジェクション攻撃の被害を受けた人を知っています。特定の情報が漏洩しましたが、漏洩の程度はわかりません。ログを調べて、どのような情報が漏洩したかを特定することはできますか?ありがとうございました!

1
Matt Eskridge

関連するデータが盗まれたかどうかを判断できますか?

可能性としてはそうです。

攻撃者がSQLインジェクションのみを使用し、特権をさらに昇格させることができなかった場合、システムログは依然として信頼できる可能性があります。これにより、攻撃者の手順の一部を追跡できる場合があります。

たとえば、ほとんどのWebサーバーはデフォルトで要求されたURLをログに記録し、通常はGET要求パラメーターが含まれていますが、POST要求のパラメーターの値は含まれていません。

同じことがMySQLデータベースサーバーにも当てはまります。本番システムでは、膨大な数のMySQLイベントを収集する可能性があるため、すべてのクエリをログに記録することは非常にまれです。より一般的に使用されるトランザクションログは、データベースを更新するクエリのみを記録し、SELECTは記録しません。データを盗むために使用された可能性のあるステートメント。

あなたは「幸運」で、攻撃者によってアップまたはダウンロードされたスクリプト/バイナリなどを見つける可能性があります。

実際には、おそらくそうではありません

3
HBruijn