MySQLインジェクションエクスプロイトの特定
CPanel/WHMとphpBB3.0.xを搭載したサーバーがphpBB(またはそのプラグイン)に対するMySQLインジェクション攻撃の被害を受けた人を知っています。特定の情報が漏洩しましたが、漏洩の程度はわかりません。ログを調べて、どのような情報が漏洩したかを特定することはできますか?ありがとうございました!
関連するデータが盗まれたかどうかを判断できますか?
可能性としてはそうです。
攻撃者がSQLインジェクションのみを使用し、特権をさらに昇格させることができなかった場合、システムログは依然として信頼できる可能性があります。これにより、攻撃者の手順の一部を追跡できる場合があります。
たとえば、ほとんどのWebサーバーはデフォルトで要求されたURLをログに記録し、通常はGET要求パラメーターが含まれていますが、POST要求のパラメーターの値は含まれていません。
同じことがMySQLデータベースサーバーにも当てはまります。本番システムでは、膨大な数のMySQLイベントを収集する可能性があるため、すべてのクエリをログに記録することは非常にまれです。より一般的に使用されるトランザクションログは、データベースを更新するクエリのみを記録し、SELECTは記録しません。データを盗むために使用された可能性のあるステートメント。
あなたは「幸運」で、攻撃者によってアップまたはダウンロードされたスクリプト/バイナリなどを見つける可能性があります。
実際には、おそらくそうではありません