Я знаю кого-то, чей сервер с cPanel / WHM и phpBB 3.0.x стал жертвой атаки MySQL-инъекции против phpBB (или его плагина). Некоторая информация просочилась, но мы не знаем масштаб утечки. Можно ли определить, какая информация была утечка, изучив журналы? Спасибо!
Можете ли вы определить, были ли украдены какие-либо соответствующие данные?
Потенциально да.
Если злоумышленник использовал только SQL-инъекцию и не смог дополнительно повысить привилегии, велика вероятность, что системные журналы по-прежнему надежны. Это может позволить вам отследить некоторые шаги злоумышленников.
Дело в том, что, например, по умолчанию большинство веб-серверов регистрируют запрошенные URL-адреса, и хотя они обычно включают параметры запроса GET, они не содержат значений параметров для запросов POST.
То же самое и для сервера базы данных MySQL, в производственных системах очень редко регистрировать все запросы, поскольку вы потенциально можете собирать огромное количество событий MySQL, а в более часто используемом журнале транзакций записываются только запросы, которые обновляют базу данных, а не SELECT заявления, которые могли быть использованы для кражи ваших данных.
Возможно, вам «повезет» и вы найдете скрипты / двоичные файлы и т. Д., Которые были загружены или загружены злоумышленником.
На практике, наверное, нет