Re: Piratage Mysql
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Le 16/09/2011 23:40, Frédéric ZULIAN a écrit :
> Non, Je viens de me hacker. Le soft scanne le tout
> et tu choisis ce que tu veux.
>
>> > Ce n'est peut-être pas MySQL qui a été hacké,
> Il utilise une appli win "HAVIJ" qui hacke MySQL
HAVIJ nécessite un site web non sécurisé pour fonctionner.
Il se base sur les faiblesses des applications web autour de MySQL, pas
de celles de MySQL directement.
>> > ??? MySQL et/ou PHPMyAdmin sont-ils en DMZ ?
> Oui, pourquoi c'est MAL ?
Parce que pas sécurisés ni fiables justement ?
Les 2 doivent absoluement être mis au mieux derrière un VPN ou un tunnel
SSH, au pire bien sécurisés avec des .htaccess ou autres.
> Je vais mettre des mdp plus robuste mais je ne pense pas que le prb
> viennent de la.
Non effectivement, HAVIJ fonctionne par injection SQL et peut accéder à
ta base sans avoir d'accès au MySQL.
Mais ça, tant que PHP vivra…
Une « parade » possible est de limiter au maximum les droits des comptes
utilisateurs MySQL.
Un compte par utilisateur et par base de données, des droits
ultra-limités (select / update / delete suffisent généralement), etc.
- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iQEcBAEBAgAGBQJOc8dBAAoJEK8zQvxDY4P9mJ4H/1EQhvzkFYoXPzZNjqhtIAO3
YF0Awyf9nBCvSk3cFHdpzT5OMSwYDxzfj75fFknud2BPd1FiQUVLdPBenY5x23QX
Os+s5DB836OSYtTMu37zAyS82kVgvn3JTMq9WCJP+bIOVc6Cn1B37kI/TdJkITPM
qhrtVPOiqZZhk/955zr3R7MgxtMxHc9V1nLp2MoWTry5Hl9t7+itsNONf0uGMXNT
fWr+fI6QBhhMjuWqLMvM2ClgkrYdMvyK4p6995844AYMi/52p8qdQ6w7WjKh/AmD
aaNeIX1L/ieAZI6Xp851Py7oH0m1mHJt03quMlO3HlnUG5YYp2kQahOhp1xjfY4=
=PlkW
-----END PGP SIGNATURE-----
Reply to: