Mysql unbefugter zugriff

[Hustengutzel]

Hallo zusammen

ich weiß jetzt nicht recht ob der Thread unter Sicherheit reingehört,jedoch habe ich durch Zufall was interessantes festgestellt:

Konfiguration MySql:

Ich habe da heim ein Qnap mit Mysql Datenbank drauf und portforwarding auf das Gerät,damit man von außerhalb auf das Gerät zugreift.

Situation
Habe über PHP-Myadmin die processliste angeschaut. Und festgestellt,dass ein unautorisiert auf meine Datenbank von der IP 61.147.103.187 zugreift,und anscheinen abfragen macht obwohl er nicht angemeldet war. Diese mittels http://www.utrace.de/?query=61.147.103.187 zurückverfolgt und bin in China rausgekommen :/

Darauf hin hin habe ich alle portforwardings ausgeschaltet.

Was kann ich sonst noch tun?

Gruß matze

 

[BlubbsDE]

Wenn Du Dienste im Netz zur Verfügung stellst, dann ist das normal. Das diese Dienste mal von einem Bot angeschaut werden.

Schalte die Freigabe zum Netz aus (=Portweiterleitung aus) dann passiert das nicht mehr.

 

[davidbaumann]

Hallo,

wenn du den MySQL Server auf dem Default-Port laufen hattest, und die Version aktuell ist, wird es wohl bei dem Versuch geblieben sein, sich einzuloggen.

Hast du aber eventuell ein unsicheres Passwort auf root, admin, superuser, sa.... oder ähnlich würde ich davon ausgehen, dass du den QNAP nichtmehr vertrauen kannst.
Heisst: Platten ausbaun, an nem Linux-System die Daten sichern, Festplatten mit dd überschreiben (zumindest die ersten 100MB z.B.).

-> Das QNAP sollte jetzt wieder im Werkszustand sein und beim boot die Firmware-Datei anfordern.

Gruß.

Gruß.

 

[Fireball89]

Alle Services, die aus dem Internet erreichbar sind, sollten gut konfiguriert sein und immer aktuelle Sicherheitsupdates erhalten.
Wenn du deinen MySQL-Server also weiterhin auch aus dem Internet erreichbar haben willst, solltest du dich damit beschäftigen wie man Datenbank-Server sicher macht. Da gibt es sicherlich genügend Material im Netz

 

[davidbaumann]

Kann mir kaum ein Szenario vorstellen, in dem Otto-Normalnutzer einen SQL Server von aussen erreichbar haben muss...

 

[Hustengutzel]

Ja,mit so vielen Antworten hatte ich nicht gerechnet,in so kurzer Zeit.
Zum glück hatte ich nichts wichtiges auf der DB,nur paar Testdaten.

Vielen Dank für die Rückmeldung!

 

[davidbaumann]

Hallo,

wenn man mal als serveradmin auf dem MySQL Server ist stehen die Chancen hoch, dass auch Befehle auf dem NAS ausgeführt wurden - je nach Konfiguration.
Ausserdem ist gut möglich, dass die verwendete MySQL Server Version nicht unbedingt sicher ist...

​Gruß.

 

[Hustengutzel]

Hallo

Prinzipiell habe ich immer meine Software/Firmware aktuell,und ändere bei allen Geräten nach inbetriebnahme die PW's.

Habe auch gesehen,dass sehr häufig(19x) versucht wurde via SSH mit admin username auf das Gerät(Qnap direkt) zuzugreifen,jedoch ohne erfolg.
Auch FTP wurde versucht,auch ohne erfolg.

Ergänzung (23. Dezember 2013)

Der Grund für externen Zugriff:
Derzeit schreibe ich ein neue Heilpraxissoftware in Kooperation mit einem Heilpratiker. Er hat mich gefragt ob es möglich ist, auch von da heim aus darauf zuzugreifen. Habe deswegen das Testweise mal getestet(hatte NUR Testdaten drauf).

 

[davidbaumann]

Hallo,

das geht in die Richtung "grob fahrlässig"
Einzelne Dienste, die nciht aktuell sind (und ja, ich bin mir recht sicher dasss QNAP da nicht sooo viel Wert drauf legt) würde ich niemals direkt ins Netz freigeben.
Lass doch ein VPN laufen, das ist dann wenigstens ein einziger Dienst der vor allem auch dafür gedacht ist, in unvertrauenswürdige Netzte offen zu sein.

​Gruß.

 

[Hustengutzel]

Deswegen ja,"nur" Testdaten. Aber ja fahrlässig ist es alle mal ^^

Werde mir auf jeden Fall mich über VPN informieren oder vlt auch eine astaro ^^.

 

[davidbaumann]

Auf dem gesamten NAS sind nur Testdaten und werden ab jetzt auch nur Testdaten sein? Liest du eigentlich, was ich schreibe?

 

[Hustengutzel]

Also es ist so,derzeit habe ich nur Testdaten drauf.
Diese Daten und generell wird dieses NAS nie produktiv eingesetzt,da vor Ort in der Praxis es bereits ein anderes Nas gibt.
Habe jetzt sicherheitshalber bei mir Alle Ports geschlossen und schau gerade die syslog(Genaure wann sich jemand angemeldet hat) an,um sicher zu gehen dass es nicht geklappt hat. Sonst werde ich das neu aufsetzten.

 

[davidbaumann]

Was würde wohl jemand machen, nachdem er sich erfolgreich mit Root-Rechten eingeloggt hat?

 

[Daaron]

Ja,mit so vielen Antworten hatte ich nicht gerechnet,in so kurzer Zeit.
Zum glück hatte ich nichts wichtiges auf der DB,nur paar Testdaten.

MySQL kann, bei unsauberer Konfiguration, Shellbefehle ausführen. Wenn dann woanders noch mal geschlampt wurde, läuft der MySQL-Daemon nicht mit Minimal-Rechten sondern als Root... Also rate mal, was man über "kleine unscheinbare" Queries so fieses anstellen kann...

Dein gesamtes System ist kompromittiert, jedes einzelne Byte auf deiner NAS.

Derzeit schreibe ich ein neue Heilpraxissoftware in Kooperation mit einem Heilpratiker. Er hat mich gefragt ob es möglich ist, auch von da heim aus darauf zuzugreifen. Habe deswegen das Testweise mal getestet(hatte NUR Testdaten drauf).

Das macht man aber nicht SO. Man erlaubt keine (GAR KEINE) Zugriffe auf einen DB-Server von "außen". Ausdrücklich ausgenommen sind bekannte, statische IPs von anderen vertrauenswürdigen Servern, die z.B. eine Replikation durchführen.

Wenn du Remote-Zugriffe ermöglichen willst/musst, dann schreib z.B. eine RESTful API dafür. Schick deine Änderungswünsche an einen separaten sicheren Dienst, der sie prüft und innerhalb des Servers mit der Datenbank abklärt. Das kann im einfachsten Fall z.B. ein PHP-Script sein, genauso gut kannst du natürlich auch einen vollkommen eigenständigen und hochspeziellen Dienst in C (oder sonstwas) schreiben....

 

[davidbaumann]

Ich glaube, unsere Bemühungen stoßen auf taube Ohren...

 

[Hustengutzel]

Hallo

nein tun sie nicht!
Ganz im Gegenteil. Ich bin sehr froh darüber dass mich jemand Aufklärt.
Ich glaube vielmehr dass sie nur aktuell auf Unwissenheit/falschen ausdruck meinerseits stoßen.

Ich wärde glaub ich das Konzept von außen umdenken. Vermutlich wird es dann via VPN laufen,wäre das halbwegs sicher?

Ich gehe jetzt erstmal meine NAS neu aufsetzten ....

 

[davidbaumann]

Eine Frage der Konfiguration!
Bitte zuerst in eine Technik einlesen, und dann einsetzen...

 

[Hustengutzel]

Also nochmals Danke an alle!
Und Entschuldigung falls ich manchmal neben mir stand^^

 

[Daaron]

Ich wärde glaub ich das Konzept von außen umdenken. Vermutlich wird es dann via VPN laufen,wäre das halbwegs sicher?

Wenn du auf diese Weise feste IPs mit einem absolut vertrauenswürdigen Netz garantieren kannst... ja.

Sinnvoller wäre trotzdem, eine separate API zu schreiben, die sich um Ein- und Ausgabe kümmert. Auf die Weise ist nur die API eventuellen Sicherheitsproblemen ausgesetzt, nicht direkt der SQL Server.