forum.opennet.ru

Составление сообщения

Исходное сообщение

"Атака на сервера MySQL с целью совершения DDoS-атак"
Отправлено userd, 29-Окт-15 18:57

Вы ошиблись в одной детали.
На фоне других косяков разница между инъекцией и подключением к порту с пользователем root без пароля значит совсем немного.
Из текста новости не ясно, а по ссылке написано, что использованы UDF.
Для того чтобы загрузить UDF можно выполнить запрос типа
SELECT … INTO DUMPFILE '…';
Далее, для установки UDF нужно выполнить оператор типа
CREATE FUNCTION … RETURNS … SONAME '…';
CREATE FUNCTION загружает библиотеку только из plugin_dir; в старинных версиях была ошибка - при пустом plugin_dir библиотека грузилась так, как грузится любая библиотека по правилам принятым в операционной системе.
итого для записи и установки UDF нужно:
- plugin_dir должен быть доступен серверу БД на запись.
- mysql выполняется от пользователя с лишними привилегиями
- или plugin_dir должен быть доступен для записи
- пользователь должен иметь право "CREATE ROUTINE"

Исходное сообщение
"Атака на сервера MySQL с целью совершения DDoS-атак" Отправлено userd, 29-Окт-15 18:57
Вы ошиблись в одной детали. На фоне других косяков разница между инъекцией и подключением к порту с пользователем root без пароля значит совсем немного. Из текста новости не ясно, а по ссылке написано, что использованы UDF. Для того чтобы загрузить UDF можно выполнить запрос типа SELECT … INTO DUMPFILE '…'; Далее, для установки UDF нужно выполнить оператор типа CREATE FUNCTION … RETURNS … SONAME '…'; CREATE FUNCTION загружает библиотеку только из plugin_dir; в старинных версиях была ошибка - при пустом plugin_dir библиотека грузилась так, как грузится любая библиотека по правилам принятым в операционной системе. итого для записи и установки UDF нужно: - plugin_dir должен быть доступен серверу БД на запись. - mysql выполняется от пользователя с лишними привилегиями - или plugin_dir должен быть доступен для записи - пользователь должен иметь право "CREATE ROUTINE"

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру