Hello, All!
Помогите советом несведущему, плиз.
Имеется машина на Фре4.7, на которой крутится МуСКУЛ,
немного хостинга на Апаче, ну и по-мелочам еще немного всякого.Недавно было замечено, что некто получил доступ к одной из
служебных баз данных (скорее всего по причине банальной утечки
информации об аккаунте).Можно было бы поменять, конечно, пароль на базу и всё, да вот,
руководство решило устроить "охоту на ведьм" и поймать этого
зловредного некто...Доступ к базам теоретически возможен только с localhost,
вероятность захода этого _некто_ шеллом на машину исчезающе мала.
ИМХО, скорее всего доступ осуществляется из некоего скрипта,
размещенного на одном из вирт. хостов.....Как бы мне зафиксировать коннекты к базе и определить откуда
они происходят (из скрипта, из консоли, из сети, не дай Бог...)With best regards, Eugene Vasiliev.
>Hello, All!
>Помогите советом несведущему, плиз.
>Имеется машина на Фре4.7, на которой крутится МуСКУЛ,
>немного хостинга на Апаче, ну и по-мелочам еще немного всякого.
>
>Недавно было замечено, что некто получил доступ к одной из
>служебных баз данных (скорее всего по причине банальной утечки
>информации об аккаунте).
>
>Можно было бы поменять, конечно, пароль на базу и всё, да вот,
>
>руководство решило устроить "охоту на ведьм" и поймать этого
>зловредного некто...
>
>Доступ к базам теоретически возможен только с localhost,
>вероятность захода этого _некто_ шеллом на машину исчезающе мала.
>ИМХО, скорее всего доступ осуществляется из некоего скрипта,
>размещенного на одном из вирт. хостов.....
>
>Как бы мне зафиксировать коннекты к базе и определить откуда
>они происходят (из скрипта, из консоли, из сети, не дай Бог...)
>
>With best regards, Eugene Vasiliev.
Смотри в логи апача. Постарайся отловить имя юзера, под которым выполняется доступ и IP-шних и заруби доступ из файрвола или из htaccess.
>Смотри в логи апача. Постарайся отловить имя юзера, под которым выполняется доступ
>и IP-шних и заруби доступ из файрвола или из htaccess.Хм... знать бы еще, что в логах апача искать.....
я ведь не знаю еще откуда вызываются коннекты к базе....