Visualizzazione Stampabile
Controllando lo stato in tempo reale del mio MySql trovo spesso numerosi tentativi di connessione, non dovrebbero avere modo di connettersi se gli user sono limitati vero?
Trovo scritto ripetutamente "unautorized user login" !
Sono tentativi non a rischio ?
Dall'interno o dall'esterno ?
C'è modo di capirlo ?
Mi conviene attivare il firewall sulla specifica porta del MySql con esclusione del localhost ?
ma tu ce l'hai in locale? :confused:
Bhè direi di si, visto che per ora ho tutto sullo stesso PC.Citazione:
Originariamente Scritto da mossss
Eh sì, tutto bloccare. Questi sono segnali che qualcuno sta cercando di entrare. Se la password è abbastanza lunga e l'amministratore/utente altrettanto, non c'è rischio. Con abbastanza intendo dire, almeno 9 caratteri ciascuno, non facilmente individuabili.
Se i tentativi sono molti (migliaia) nella stessa giornata e in rapida successione, è probabile che c'è attaccato uno scanner, che prova tutte le combinazioni, e in tal caso è meglio cambiare porta, se deve rimanere di pubblico accesso. Se non sono molte, può trattarsi solo di qualcuno che prova manualmente entrarci, così per divertimento personale.
Come sospettavo.Citazione:
Originariamente Scritto da y2ksw
Mo cambio subito porta e pass :D , grazie y2ksw ;)
Posso beccarlo dai file di log del MySql (che non trovo) oppure ho bisogno di un firewall per tracciare l'IP ?
Mi sa che lo devi fare dal FW.
Già, proverò così, il mio timore è che potrebbe essere uno dei siti ospite sul server, ma credo sia un eventualità remota... dovrebbe essere dall'esterno.Citazione:
Originariamente Scritto da y2ksw
Casomai ora provo a filtrare con il FW la porta dall'esterno tranne che sul locale.
Mhhmmm, sembra tutto chiuso, ma il problema persiste, tra l'altro non vedo sul FW connessioni dall'esterno anche se la cosa durerebbe pochi secondi o millisecondi alla volta, questo è sempre il risultato :
Che sia qualche d'uno interno che si sbaglia e non imposta user e pass durante l'esecuzione di un codice ?
Possibile, ma non ci credo tanto. E' comunque qualcuno che tenta loggarsi e non si arrende...
Se te lo puoi permettere, crea un account anonimo e fallo entrare, solo per vedere cosa ha intenzione di fare, tipo user "root" e password nullo. Se non ti fidi, puoi creare anche un nuovo database che ha queste caratteristiche. Da lì puoi vedere più in dettaglio se è qualcuno dall'interno o meno.
In passato ho subito per incidente un attacco del genere (sapevo ancora poco di Internet), e mi hanno creato un database ampio con dati sensibili per lo spam, servendosi del mio server e mailer, fortunatamente solo per qualche ora. Ciononostante ho prima preso nota di tutti i dati (loro) e li ho denunciati alle authority. Credo che alla lunga, è il migliore modo per fare "fuori" certi hacker, ma preferisco di non provocarli :) . Se il tuo server non deve esporre i database, chiuderei proprio la porta, e farei in modo di accedere tramite php o asp.
Proprio questo il punto, dovrebbe essere chiuso dall'esterno secondo le impostazioni del FW, io devo usarlo solo in localhost, ma qui sembra continuare la "rumba" ...Citazione:
Originariamente Scritto da y2ksw
Su Windows bisogna per forza usare le socket TCP per collegarsi al MySQL, giusto?
Nel file di conf hai:
?Codice:[mysqld]
...
bind-address=127.0.0.1
...
O qualcosa di simile? Ora non ricordo.
Questo lo avevo messo, ho messo bind-address=localhost e funziona però ho quei contatti lo stesso.Citazione:
Originariamente Scritto da paolo
Vuole dire che vengono dall'interno quindi.
Ora si tratta di stabilire se sono casuali o sono codici ad esempio caricati su pagine del forum di straforo.
Un paio di cose per mettere in sicurezza il db, magari già lo avete fatto ma ricordarlo non fa mai male :D
1) creare un utente diverso per ogni applicazione che deve accedere ad un database mysql, quindi in sostanza un utente per ogni database di applicazione. Se trovano in qualche modo la pass di quell'utente al massimo hanno accesso ad un solo db, non a tutti.
2) nella maggior parte dei casi gli utenti possono essere associati ad un singolo host, se web server e db sono sulla stessa macchina localhost, quindi, in fase di creazione dell'utente, specificare l'host dal quale deve connettersi per autenticarsi (es. forum@localhost per un vbulletin con web e db sullo stesso server) e non usare il % (qualsiasi host).
"netstat -an" che dice?Citazione:
Originariamente Scritto da Sergio
Ottimo consiglio txh ;)Citazione:
Originariamente Scritto da OsMoSiS
NO :(Citazione:
Originariamente Scritto da OsMoSiS
Spiega , spiega :D
Apri una finestra dos e scrivi: netstat -n
Ti da un elenco di tutte le connessioni in corso (ip e porta locale, ip e porta remote, stato della connessione). Cerca le connessioni la cui porta locale è quella di mysql e vedi da che indirizzo remoto provengono... con questo già puoi farti un'idea della fonte ;)