Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Несколько моих mysql баз были удалены каким-то вируcом (?) [Решено]  (Прочитано 6443 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн victor00000

  • Старожил
  • *
  • Сообщений: 15568
  • Глухонемой (Deaf)
    • Просмотр профиля
Нашел

не нашёл, возьми в Ubuntu.
Wars ~.o

Оффлайн mstdmstd

  • Автор темы
  • Активист
  • *
  • Сообщений: 322
    • Просмотр профиля
# sudo netstat -ntulp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name   
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      1470/mysqld         
tcp        0      0 127.0.0.1:63342         0.0.0.0:*               LISTEN      4224/java           
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      771/systemd-resolve
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      850/cupsd           
tcp        0      0 127.0.0.1:6942          0.0.0.0:*               LISTEN      4224/java           
tcp6       0      0 :::6881                 :::*                    LISTEN      3466/ktorrent       
tcp6       0      0 :::6600                 :::*                    LISTEN      1/init             
tcp6       0      0 :::80                   :::*                    LISTEN      2204/apache2       
tcp6       0      0 :::1716                 :::*                    LISTEN      3372/kdeconnectd   
tcp6       0      0 ::1:631                 :::*                    LISTEN      850/cupsd           
udp        0      0 0.0.0.0:55890           0.0.0.0:*                           4282/chromium-brows
udp    46080      0 127.0.0.53:53           0.0.0.0:*                           771/systemd-resolve
udp        0      0 0.0.0.0:68              0.0.0.0:*                           2198/dhclient       
udp        0      0 0.0.0.0:631             0.0.0.0:*                           929/cups-browsed   
udp     3072      0 224.0.0.251:5353        0.0.0.0:*                           4930/chrome --type=
udp     5376      0 224.0.0.251:5353        0.0.0.0:*                           4872/chrome         
udp     5376      0 224.0.0.251:5353        0.0.0.0:*                           4282/chromium-brows
udp     8448      0 224.0.0.251:5353        0.0.0.0:*                           4237/libpepflashpla
udp    38400      0 0.0.0.0:5353            0.0.0.0:*                           857/avahi-daemon: r
udp        0      0 0.0.0.0:59064           0.0.0.0:*                           857/avahi-daemon: r
udp6       0      0 :::47077                :::*                                4282/chromium-brows
udp6       0      0 :::47430                :::*                                5170/Preload.js --b
udp6       0      0 :::33128                :::*                                857/avahi-daemon: r
udp6   13824      0 :::5353                 :::*                                857/avahi-daemon: r
udp6    4608      0 :::1716                 :::*                                3372/kdeconnectd   

Оффлайн victor00000

  • Старожил
  • *
  • Сообщений: 15568
  • Глухонемой (Deaf)
    • Просмотр профиля
Цитировать
127.0.0.1:3306
нормально, ни каких изменили.
Wars ~.o

Оффлайн Dot-mitsu

  • Активист
  • *
  • Сообщений: 299
    • Просмотр профиля
Цитировать
127.0.0.1:3306
нормально, ни каких изменили.
Так автор и не ответил, смотрит ли в интернет компьютер? Если да, то его простой пароль ломается ботнэтом азиатов за пару часов. Там перебирается всё подряд. Это всё автоматизировано и работает по всему миру

Оффлайн bezbo

  • Старожил
  • *
  • Сообщений: 1742
    • Просмотр профиля
Надеюсь, эта система за NATом.
Если апач смотрит в мир, то проверяйте свой вебсайт.

Оффлайн victor00000

  • Старожил
  • *
  • Сообщений: 15568
  • Глухонемой (Deaf)
    • Просмотр профиля
1:L~$
1:L~$ mysql -u root -p1
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 53
Server version: 5.5.62-0ubuntu0.14.04.1 (Ubuntu)

Copyright (c) 2000, 2018, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> что тут команды, как например "восстановить" и как посмотреть сколько?
    -> ;
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'что тут команды, как например "восстановить"' at line 1
mysql> \q
Bye
1:L~$

не умею, только умею "Восстановить GGRUB".
Wars ~.o

Оффлайн Dot-mitsu

  • Активист
  • *
  • Сообщений: 299
    • Просмотр профиля
victor00000, Ты о чём вообще?

Пользователь добавил сообщение 23 Августа 2019, 14:42:57:
Короче не собираюсь я автору помогать если он игнорирует сообщения с вопросами, которые помогут решить его проблему. Что страдать херней? Пусть ответит, смотрит его компьютер в интернет или нет. отсюда и надо плясать дальше. Если смотрит и без фаервола с простым паролем, то пусть читает и учится работать с сетями. В своём сообщении на предыдущей странице я в крации описал как всё настроить. Или хотябы пусть графический gufw использует.
« Последнее редактирование: 23 Августа 2019, 14:43:31 от Dot-mitsu »

Оффлайн victor00000

  • Старожил
  • *
  • Сообщений: 15568
  • Глухонемой (Deaf)
    • Просмотр профиля
нужно phpmyadmin базы живая или нет.
Wars ~.o

Оффлайн mstdmstd

  • Автор темы
  • Активист
  • *
  • Сообщений: 322
    • Просмотр профиля
Спасибо за помощь!
Не уверен что значит
Цитировать
смотрит ли в интернет компьютер

У меня полдключен интернет по сети без каких-либо доп настроек


Цитировать
компе белый ip
Опять таки не уверен что это значит
Я просил провайдера выделить мне постоянный ip что они и сделали

При установке Apache я выполнял
Цитировать
sudo ufw allow in "Apache Full"

Команды предложенные Dot-mitsu - я выполнил


насчет доступ к руту через ssh
~/.ssh$ ls -la
total 40
drwx------  2 serge serge 4096 .
drwxr-xr-x 31 serge serge 4096  ..
-rw-rw-rw-  1 serge serge  398  authorized_keys
-rwx------  1 serge serge  181  config
-r--------  1 serge serge 1679  id_rsa
-rw-rw-rw-  1 serge serge  426  id_rsa.pem
-rw-rw-rw-  1 serge serge  393  id_rsa.pub
-rwxrwxrwx  1 serge serge 8760  known_hosts
Вы это имеете в виду ?


После всех этих мер мои базы удаляться перестали и следов вмешательства я более не вижу - ну еще понаблюдаю.


Пользователь добавил сообщение 23 Августа 2019, 15:34:07:
база  phpmyadmin - есть с ней ничегоне случилось .

Оффлайн Dot-mitsu

  • Активист
  • *
  • Сообщений: 299
    • Просмотр профиля
mstdmstd, вот теперь поговорим. У вас белый ip так как выделили статику. Доступ извне есть. Кабель интернета идёт напрямую в компьютер или через роутер?
Если напрямую в комп, то нужно посмотреть включен ли ufw. Это фаервол.
sudo ufw status verbose
Должен выдать active и правила которые заданы. Вывод сюда пожалуйста приложите. Только ваш ip (если он есть в правилах) скройте и не выкладывайте сюда. Мало ли кто-то напакостить захочет

ДАЖЕ С НЫНЕШНИМИ НАСТРОЙКАМИ СИСТЕМА ПОКА НЕ ПОЛНОСТЬЮ БЕЗОПАСНА. В mysql есть по умолчанию тестовые пользователи к которым можно получить доступ по сети. Но если в фаерволе доступ из интернета к 3306 порту не открыт, то норм.

Вы просто отвечайте на то, что я пишу и я помогу настроить всё как надо и безопасно и объясню если что-то где-то непонятно. И с базой данных разберёмся. Может с базой всё норм, но чудит mysqlworkbench. Проверим через консоль

Пользователь добавил сообщение 23 Августа 2019, 16:03:22:
нужно phpmyadmin базы живая или нет.
Входим
sudo mysql -u root -p
Далее пароль рута системы и затем сразу же пароль рута от БД. По умолчанию пароль от рута БД пустой, просто жмём Enter
Далее не забываем точки с запятой на конце. Если случайно забыли поставить и нажали Enter, то вернуться \c и затем Enter
SHOW DATABASES;
Затем выбираем базу из списка
use имя_базы;
Затем выводим список таблиц
show tables;

Пользователь добавил сообщение 23 Августа 2019, 16:45:07:
Насчёт доступа к руту через ssh. По умолчанию авторизация по ssh под пользователем root запрещена. Не нужно включать. Ботнеты всегда в первую очередь его перебирают.
« Последнее редактирование: 23 Августа 2019, 16:45:07 от Dot-mitsu »

Оффлайн mstdmstd

  • Автор темы
  • Активист
  • *
  • Сообщений: 322
    • Просмотр профиля
$ sudo ufw status verbose
Status: inactive

# sudo mysql -u root -p
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 15
Server version: 5.7.27-0ubuntu0.18.04.1 (Ubuntu)
...
mysql> SHOW DATABASES;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| Hostels2           |
| Votes              |
| Wiznext            |
| mysql              |
| performance_schema |
| phpmyadmin         |
| sys                |
+--------------------+
8 rows in set (0.00 sec)


mysql> use phpmyadmin
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
mysql> show tables;
+-----------------------------------+
| Tables_in_phpmyadmin              |                                                                                                                                                                                                       
+-----------------------------------+                                                                                                                                                                                                       
| pma__bookmark                     |                                                                                                                                                                                                       
| pma__central_columns              |                                                                                                                                                                                                       
| pma__column_info                  |                                                                                                                                                                                                       
| pma__designer_settings            |                                                                                                                                                                                                       
| pma__export_templates             |                                                                                                                                                                                                       
| pma__favorite                     |                                                                                                                                                                                                       
| pma__history                      |                                                                                                                                                                                                       
| pma__navigationhiding             |                                                                                                                                                                                                       
| pma__pdf_pages                    |                                                                                                                                                                                                       
| pma__recent                       |                                                                                                                                                                                                       
| pma__relation                     |                                                                                                                                                                                                       
| pma__savedsearches                |                                                                                                                                                                                                       
| pma__table_coords                 |                                                                                                                                                                                                       
| pma__table_info                   |                                                                                                                                                                                                       
| pma__table_uiprefs                |
| pma__tracking                     |
| pma__userconfig                   |
| pma__usergroups                   |
| pma__users                        |
| vt2_activity_log                  |
| vt2_banners                       |
| vt2_chat_message_documents        |
| vt2_chat_messages                 |
| vt2_chat_participants             |
| vt2_chats                         |
| vt2_chats_last_visited            |
| vt2_contact_us                    |
| vt2_cron_notifications            |
| vt2_downloads                     |
| vt2_event_attendees               |
| vt2_events                        |
| vt2_external_news_importing       |
| vt2_groups                        |
| vt2_migrations                    |
| vt2_page_content_images           |
| vt2_page_contents                 |
| vt2_password_resets               |
| vt2_payment_agreements            |
| vt2_payment_items                 |
| vt2_payments                      |
| vt2_quiz_quality_results          |
| vt2_search_results                |
| vt2_service_subscriptions         |
| vt2_settings                      |
| vt2_settings_text                 |
| vt2_site_subscriptions            |
| vt2_tag_details                   |
| vt2_taggables                     |
| vt2_tags                          |
| vt2_todos                         |
| vt2_users                         |
| vt2_users_groups                  |
| vt2_users_site_subscriptions      |
| vt2_vote_categories               |
| vt2_vote_item_users_result        |
| vt2_vote_items                    |
| vt2_votes                         |
| vt2_websockets_statistics_entries |
| vt2_youtube_access_tokens         |
+-----------------------------------+
59 rows in set (0.00 sec)
vt2_ - это мои таблицы из рабочего проекта с которыми я работал Я их перебросил в phpmyadmin так как вирус эту базу не удалял .


с помощью  mysql_secure_installation я установил сложный пароль.

Оффлайн Dot-mitsu

  • Активист
  • *
  • Сообщений: 299
    • Просмотр профиля
mstdmstd, фаервол не запущен. Выполняем
sudo ufw enable
Затем снова команду
sudo ufw status verbose
По таблицам вы сами смотрите. Все ли на месте или нет. Там список с ними.

« Последнее редактирование: 23 Августа 2019, 17:12:14 от Dot-mitsu »

Оффлайн victor00000

  • Старожил
  • *
  • Сообщений: 15568
  • Глухонемой (Deaf)
    • Просмотр профиля
sudo mysql -u root -p

а вот sudo. ))
это коиент 127.0.0.1 и порт 3306.
бггг.
Wars ~.o

Оффлайн Dot-mitsu

  • Активист
  • *
  • Сообщений: 299
    • Просмотр профиля
sudo mysql -u root -p

а вот sudo. ))
это коиент 127.0.0.1 и порт 3306.
бггг.
К чему это сообщение? не понимаю
sudo на loopback это локальный вход. Извне нужно закрыть всё.

Оффлайн bezbo

  • Старожил
  • *
  • Сообщений: 1742
    • Просмотр профиля
Status: inactive

не понимаю, почему ваш компьютер до сих пор работает? может у вас есть какой-то другой способ защиты от сетевых атак?

в phpmyadmin

удалите эту гадость, Phpmyadmin: Security Vulnerabilities

P.S. отчаянный вы человек...

 

Страница сгенерирована за 0.061 секунд. Запросов: 23.