507

Это случилось...

Я узнал логин и пароль от базы данных своего провайдера.
Нет, я не хакер или профессиональный программист.

Просто когда я на днях зашел на сайт провайдера из-за того, что в очередной раз пропал интернет (подумал что оплата закончилась) мне показали ошибку.

Это случилось... Провайдер, Интернет, База данных, Фотография, Информационная безопасность

Далее я использовал небольшой анализ и понял, что в ошибке кроме файловой системы сервера провайдера написаны ещё и логин:пароль от БД.

"У тебя есть власть, которая и не снилась обычному юзеру" могли подумать вы. Но, к счастью или сожалению, нет

Посредством виртуальной машины с линуксом я попробовал подключиться к БД, но провайдер оказался таки не совсем уж дураком и поставил фильтр на IP адреса.

И ещё как вишенки на торте ко всему тому, что я успел написать:
1. На поддомене с авторизацией и личными кабинетами пользователей у провайдера открытая файловая система.
Под открытой я имею в виду то, что просмотреть её структуру может каждый (кроме главной папки с index).
Не уверен что это можно считать за большую уязвимость, но закрыть её насколько я знаю минутное дело.

Это случилось... Провайдер, Интернет, База данных, Фотография, Информационная безопасность

2. Пароль от БД, честно говоря, оказался не ахти. На уровне пятикласника аля имяфамилия1337.
Никаких специальных символов, заглавных букв. Только маленькие буквы и цифры. Длинна логина 6 символов, пароля - 9.

P.S. Учитывая строку "Error: Too many connections" в ошибке, предполагаю что сервер DDOSнули, а это значит что кроме меня ещё много людей смогли увидеть то же, а некоторые возможно даже зашли дальше.

P.P.S. Если я в чём-то ошибся, попрошу не пинать, а слегка поправить :)

Найдены дубликаты

+61

Спецсимволы с заглавными буквами гарантируют лишь то, что пользователь обязательно забудет пароль)

раскрыть ветку 55
+14

А какой тут пользователь? Напрямую в БД кроме админа лазят только разработчики и сам веб-сервер. У разработчиков наверняка своя база, тестовая, без личных данных юзеров. А админ лезет править sql только в самом крайнем случае.

Вот и получается что мощный пароль на этом слое - обязателен.

раскрыть ветку 8
+16

Зачем там мощный пароль если к БД доступ только с localhost и никаких чужих пользователей на сервере нет?

раскрыть ветку 7
0

ну так запишет в архив запароленный вася123, где зачастую и еще куча пассов

-6
При обычном брутфорсе даже если добавить их в единичном экземпляре это увеличит возможное количество комбинаций в сотни раз
Да и вообще, считаю непрофессиональным, непростительным и безответственным делать простые пароли для таких важных вещей как базы данных
А ещё пароли не обязательно знать наизусть, человечество уже давно придумало бумагу :)
раскрыть ветку 44
+10

Да, я в курсе как работает комбинаторика. Но для увеличения сложности подбора совершенно необязательно использовать спецсимволы. Во-первых, брутфорсер все равно будет перебирать все подряд, а не только буквы (он же не знает, что там пароль vasya2005). Во-вторых, достаточно использовать длинный пароль символов из 20, и никакой брутфорс его не возьмет. И запоминать такие пароли гораздо легче, чем osDE83!fx9. Например, можно латиницей набрать запоминающуюся фразу слитно. А бумага - это классический способ слить пароль кому не надо.

раскрыть ветку 18
+2

простое увеличение длины пароля на один символ даст точно такой эффект для брутфорса как и добавление любого другого случайного символа. а пароль вида "сороктысячобезьянвжопусунулибанан" в отличие от "Gh234@fgs2!"ты никогда не забудешь, а срок его брутфорса превышет срок жизни вселенной. Поэтому все эти нелепые требования на сложность пароля только бесят, а к реальности отношения не имеют.

Иллюстрация к комментарию
раскрыть ветку 23
0

База скорее всего недоступна из инета. Зачем тут сложный пароль? Хотя я всегда что-то длинное и сложное делаю, но просто по привычке)

ещё комментарии
+21
На уровне пятикласника
Длинна

Ну как раз для тебя.

+3
А если сервер вынужден смотреть голой жопой в инет, то он просто обязан банить айпи на полчаса при трёх неверных попытках ввода пароля. Тогда пароль может быть и достаточно простым. Подбирать будет физически невозможно.
Но так как теория вероятности — бессердечная сука, то лучше, конечно, подлиннее. Всегда лучше подлиннее, пикабушники об этом знают.
раскрыть ветку 6
+2
Забанили хакеру айпи и загрустил он.. Хотя нет, не загрустил, ведь у него была пачка прокси и насрать ему на бан по IP
раскрыть ветку 4
+3
Время и количество. Даже две тысячи проксей дают всего 6 000 попыток пароля за полчаса, а ещё время на переключение между ними... То есть ещё меньше попыток подбора. Ну вы поняли :)
А если на ваш важный сервер пытаются войти как админ с сотен и тысяч айпишников, а сервер не бьет тревогу... Ну что ж, значит, сервер вам не особо нужен.
-1
Точно так же прокси забанятся и кончатся через полчаса.
раскрыть ветку 2
+1

Точно! У меня - 49 и 5.

+3

ой, да база может быть в "локальном" сегменте сети, туда не как не попасть допустим, не из офиса. или не поломав сервер который с ней общается. Поэтому пароль может быть и символическим. Если уж сервер поломали, что мешает ее просто себе скинуть и ковырять дальше.

+2

И что?

+1

Виртуальная машина с линуксом!!! Не то, что всякие распиаренные торы, впны

+1

У провайдера сайт возможно еще и на каком-то шаред хостинге, /var/www/vhosts - стандартный путь к доменам в Plesk.

+1

За тобой уже выехали

раскрыть ветку 3
+12
Он же не хакер, обычный юзер , Винду там поставить, виртуальную машину на линуксе запустить.... Каждый пятиклашка сможет же.... Выезжать не нужно!
раскрыть ветку 1
+1

обычный юзер , Винду там поставить, виртуальную машину на линуксе запустить...

Пустите меня в свою вселенную. Я хочу таких ОБЫЧНЫХ пользователей.

-7
Во-во, потом будет на нарах гундеть, что просто ради интереса на сервер залез. Под безудержный хохот сокамерников.
ещё комментарий
0
Бежал бы ты от этого провайдера
0

А теперь можно почитать ваши посты и комменты, прикинуть ваше место дислокации, составить список местных провайдеров и подёргать на их сайтах "classes/"

раскрыть ветку 1
0
Флаг в руки) Мне то что?)
0
Виитть это ты?
0

Загранпаспорт есть?

0

в моем биллинге вообще пароля на бд нет. нет в нем смысла. если файлы доступны - то есть пароль или нет его - уже не важно. доступ к бд разрешается только для локальных процессов и если предотвратить исполнение нежелательного кода система будет защищена лучше чем при использовании паролей.

0

От какой базы вы пароль обнаружили? Поподробнее, пожалуйста!

-1

Ну и что?  Если предположить что у них бд с веб сервером на одном серваке лежат - там вообще без пароля можно обойтись, во-первых, у базы будет разрешено подключение только от localhost, а во вторых, на самом серваке просто закрыть все порты, кроме http/https. Тут и топовый хакер мало чем поможет, но зависит конечно от файрвола, стандартный iptables, говорят не любит много подключений обрабатывать одновременно

-1
Комментарий удален. Причина: данный аккаунт был удалён
раскрыть ветку 1
+1

Каким макаром?

Там либо пароль, либо hotspot. Локалку изолируют от хотспота. Пароль никто не даст.

Да и наверняка есть 2-4 ip имеющие доступ. Вам мало того, что нужно угадать, особенно, если маска не 24, а, например, 16. Так еще, наверняка, идет привязка ip-mac.

-4
А что с того, если эту базу данных таким образом украсть? Для чего? Что с ней делать?
раскрыть ветку 3
+3
себе можно сделать бесплатный интернет до конца жизни . Базу удалить . Тариф изменить .
раскрыть ветку 2
0

Резервные копии же должны быть

раскрыть ветку 1
-7

и где тут БД? просто апач не сработал и ты на их веб сервер зашел, ничего такого в этом нет. напоминаешь мне чем-то вот эту мадам.

Иллюстрация к комментарию
раскрыть ветку 4
+2
там юзернейм и пароль от бд . В конструкторе класса DbClass прописан .
раскрыть ветку 3
-4

ну так доступ на бд у юзеров разный. скорее всего там на просмотр некоторых таблиц и все.

раскрыть ветку 2
-18

У PHP есть три фатальных недостатка:

1. при ошибке он вываливает ошибку прямо в браузер

2. при неправильно настроенном сервере код скрипта может отобразиться прямо в браузере

3. кодеры которые не умеют делать sql запросы и не фильтруют входные данные

раскрыть ветку 6
+14

1. Бред. Кто не настроил error_log+display_errors - исключительно сам дурак, что говорит что ты и не знаешь как настраиваться.

2. Всё верно.


3. И всё это никак не связано с PHP, а исключительно с кривыми руками и недоадминами. А коль ты пеняешь на скриптер когда веб сервер настроить не в состоянии(php сам по себе - простой cli и к вебсерверу крутить надо в 100% и настраивать не на дефолт) - ну чего уж тут писать о тебе самом, и так понятно

ещё комментарии
-1

Большинство языков вываливают ошибки в стандартный вывод.

Но тебе это все объяснять бесполезно, так как ты, судя по первым двум пунктам, вообще представления не имеешь как это все работает.

-37

Зачем пилить посты понятные максимум 5% аудитории?!

раскрыть ветку 7
+6

да ладно, много кто сидел на баше, я почти все слова понял))

раскрыть ветку 5
0
Кстати, а баш еще живой?)
раскрыть ветку 4
0

Даже мне, не работавшему ещё с БД и пхп, и то всё понятно.

ещё комментарии
Похожие посты
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: