我正在浏览mysql-slow-logs以检查潜在的优化,并且我发现其中有奇怪的模式(请参阅下文):
SELECT password, type FROM accounts AS a JOIN sys_users AS s ON (a.id = s.account_id) WHERE s.login='**DICTIONARY_USER_NAME_HERE**' AND (SELECT count(*) FROM hosting AS h WHERE h.sys_user_id = s.id) = 0 AND (SELECT count(*) FROM web_users AS w WHERE w.sys_user_id = s.id) = 0 AND (SELECT count(*) FROM ftp_users AS f WHERE f.sys_user_id = s.id) = 0;
更令人恐惧的是,这些查询是从admin @ localhost(指定为Plesk MySQL用户)执行的]
我已经签入,似乎Plesk以纯文本形式存储了一些密码,并且那些查询是猜测登录的明显字典方法,因此mysql将以纯文本密码进行响应>
所以总结
我不确定攻击的媒介是什么,但是如果我们考虑几件事:
现在,我可能完全错了,错过了情况,这是一种完全正常的Plesk动作(我对此表示怀疑,同样奇怪的是,我在Google中找不到关于此漏洞的任何信息
某些技术/软件背景:
如果有人可以确认他们确实遇到了该问题/攻击,并且可能采取某种解决方案来防止攻击者,我将非常高兴-他最终可能会猜到该登录名,但他还没有。
现在升级到第11版尚在讨论之列-VPS提供者说他还不能这样做,我不能将项目移至其他VPS或至少不能这么快]]
先谢谢您,亚当
我正在浏览mysql-slow-logs来检查潜在的优化,我注意到它们中的模式很奇怪(请参阅下文):选择密码,键入FROM帐户,并以sys_users AS的身份打开(a.id = s。 ..
大约一年前就有big buzz about Plesk security,但一直有报道称Plesk 10.4是安全的。
对于以纯格式存储密码的系统,通过SQL查询检索密码是正常的。由于查询看起来不像SQL注入,它可能是Plesk本身的活动,但该活动实际上可以由攻击者发起。
在Plesk 12.5上,我们发现尝试使用ssh登录时,这些查询会显示在日志中。可以通过将mysql.log与auth.log相关联来验证。