en aucun cas je ne percois cela comme un mauvais [point] pour le libre, le vers fonctionne uniquement sous MS Windows et bruteforce le mot de passe. ca aurait très bien pu être la même chose avec un logiciel propriétaire.
Tout à fait. Mon mot de passe, c'est tout simplement le nom de mon
chien. Mon chien, il s'appelle 23;{zk7W?p et il change de nom toutes
les semaines.
-- Uvoguine
En plus pour accéder à ton serveur MySQL il faut s'y connecter à travers le réseau, et quand on fait bien les choses on autorise que des hôtes très particuliers à s'y connecter, genre le serveur d'application et c'est tout.
Et là, ça devient plus coton, il faut que le vers se trouve sur cet hôte. Et comme c'est un vers spécial MySQL il peut pas s'y trouver, vu que le serveur n'y est pas.
Idem si le serveur d'appli est sur localhost, le vers, pour arriver, il doit déjà être là, donc il n'arrive jamais.
Généralement, quand on veut donner l'accès à une base de données à tout un réseau, on passe par un serveur d'application qui permet d'interroger la base et de récupérer les résultats via HTTP, ce qui permet en plus de maitriser les requêtes effectuées, de faire un contrôle d'accès par utilisateur etc.
Bon, ok, il peut y avoir des failles dans le serveur HTTP, c'est sûr, mais je pense quand même que c'est mieux qu'un serveur de base de données accessible à tout le réseau.
On pourrait penser que le ver peut être un peu intelligent (on est pas obligé de le faire...) ;-)
Il pourrait par exemple essayer les attaques par spoofing pour se rajouter dans la liste des hosts autorisés : tu as l'adresse du serveur MySQL : A.B.C.D. Tu envoies les commandes vulnérables depuis l'adresse A.B.C.x où x entre 1 et 254 (pour nous on peut trouver ça long, pour un PC, il n'a même pas le temps de penser que c'est long que c'est déjà fini ;-) ). A chaque fois, il essaye de se rajouter dans la liste des hôtes autorisés, et il essaye de se connecter en direct. Soit ça marche. Soit ça marche pas. Mais comme ce n'est pas compliqué, ça peut valoir le coup d'essayer !
Generalement le serveur mysql est situé au meme endroit que le serveur web.
Donc on bloque le port pour toutes les interfaces sauf lo (loopback).
On peut aussi imaginer un sous-reseau seulement pour les serveur connecté avec trafic autorisé pour mysql seulement sur l'interface qu'il faut. Donc avec DROP sur tous le reste.
Et la le worm pour passait, il va devoir s'accrocher.
# bof
Posté par plagiats . Évalué à 5.
[^] # Re: bof
Posté par patrick_g (site web personnel) . Évalué à 3.
dialogue imaginaire :
- J'vous jure patron le logiciel libre c'est génial ! c'est des softs quasi-gratuits et super-sécurisées car le monde entier scrute les sources !
- Et c'est quoi ce machin qui vient de nous bouffer notre base de données ?
- A oui mais la patron c'est pas pareil...c'est juste que le worm a bruteforcé notre password !
- Gniiiii ?
[^] # Re: bof
Posté par Matthieu . Évalué à 3.
super-sécurisées dans le cas où tu n'as pas mis le nom de ton chien comme mot de passe !
Et ça, tu ne vas pas le dire à ton patron.... donc en gros t'es mal si tu chopes le ver !
[^] # Re: bof
Posté par Matthieu BENOIST . Évalué à 7.
Mais ? mais ? Pourquoi vous me regardez avec des yeux méchants, comme ça ? hein ? la porte ?
Mais ?
Bon, promis, j'le referais plus ^^'
[^] # Re: bof
Posté par chl (site web personnel) . Évalué à 4.
Pov chien...
[^] # Re: bof
Posté par Krunch (site web personnel) . Évalué à 1.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: bof
Posté par Nap . Évalué à 9.
Et là, ça devient plus coton, il faut que le vers se trouve sur cet hôte. Et comme c'est un vers spécial MySQL il peut pas s'y trouver, vu que le serveur n'y est pas.
Idem si le serveur d'appli est sur localhost, le vers, pour arriver, il doit déjà être là, donc il n'arrive jamais.
Généralement, quand on veut donner l'accès à une base de données à tout un réseau, on passe par un serveur d'application qui permet d'interroger la base et de récupérer les résultats via HTTP, ce qui permet en plus de maitriser les requêtes effectuées, de faire un contrôle d'accès par utilisateur etc.
Bon, ok, il peut y avoir des failles dans le serveur HTTP, c'est sûr, mais je pense quand même que c'est mieux qu'un serveur de base de données accessible à tout le réseau.
[^] # Re: bof
Posté par Matthieu . Évalué à 2.
Il pourrait par exemple essayer les attaques par spoofing pour se rajouter dans la liste des hosts autorisés : tu as l'adresse du serveur MySQL : A.B.C.D. Tu envoies les commandes vulnérables depuis l'adresse A.B.C.x où x entre 1 et 254 (pour nous on peut trouver ça long, pour un PC, il n'a même pas le temps de penser que c'est long que c'est déjà fini ;-) ). A chaque fois, il essaye de se rajouter dans la liste des hôtes autorisés, et il essaye de se connecter en direct. Soit ça marche. Soit ça marche pas. Mais comme ce n'est pas compliqué, ça peut valoir le coup d'essayer !
Voila une idée qui me passait par la tête.....
Bon week-end....
[^] # Re: bof
Posté par inico (site web personnel) . Évalué à 1.
Donc on bloque le port pour toutes les interfaces sauf lo (loopback).
On peut aussi imaginer un sous-reseau seulement pour les serveur connecté avec trafic autorisé pour mysql seulement sur l'interface qu'il faut. Donc avec DROP sur tous le reste.
Et la le worm pour passait, il va devoir s'accrocher.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.