Доступ к незащищенной учетной записи root в MySQL @ localhost осуществляется удаленно?

Немного предыстории: мы только что взломали нашу систему АТС. Сам сервер кажется безопасным (нет зарегистрированного несанкционированного доступа к консоли - SSH и т. Д.), Но каким-то образом хакерам удалось внедрить нового пользователя-администратора в программное обеспечение УАТС (FreePBX, поддерживаемое MySQL). Логи Apache подразумевают, что хакерам удалось добавить пользователя без использования веб-интерфейса (или какого-либо эксплойта в веб-интерфейсе).

Теперь я обнаружил, что MySQL работает без пароля root (!!) и открыто привязан к внешнему IP-адресу (очевидно, я сейчас заблокировал это). Однако единственным пользователем корневого уровня в MySQL был 'root'@'localhost'и 'root'@'127.0.0.1', оба из которых должны были быть доступны только локально.

Итак, мой вопрос заключается в следующем:

Есть ли способ подделки соединения с MySQL, чтобы он позволял подключаться к пользователю 'root' @ 'localhost' с удаленного IP-адреса, БЕЗ выполнения какого-либо другого эксплойта локально?

Для справки - это Centos 5 (Linux 2.6.10) под управлением Mysql 5.0.95.

Нет.

MySQL никогда не будет входить в систему пользователя с указанием localhostили 127.0.0.1хоста, если вы не из локальной системы. Обратите внимание, что это также охватывает уязвимость обхода аутентификации, CVE 2012-2122; сравнение паролей может быть обмануто, но сравнение хостов - нет.

Вам нужно что-то в системе, чтобы отключить прокси, чтобы «обмануть» проверку исходного хоста. Вспоминается что-то вроде phpmyadmin или балансировщик нагрузки, такой как HAProxy, работающий перед TCP-портом MySQL.

Имя rootсоздано по умолчанию и очень хорошо известно. Корень литерального значения не имеет никакого значения в системе привилегий MySQL. Следовательно, нет необходимости продолжать с именем пользователя root.

Вы должны изменить rootимя пользователя на что-то другое, чтобы внешний мир не смог его легко идентифицировать (угадать), это уменьшит попытки взлома.

Например: если у вас есть пользователь с именем root@, localhostкоторый всем известен, и, следовательно, хакеры попытаются подключить его, вы должны изменить его на что-то конкретное, например admin_db_name@, localhostдля большей безопасности.

Контролируйте переменную состояния, вызываемую Aborted_connectsпериодически, чтобы узнать Refusedсоединение с вашим сервером MySQL, оно должно быть 0 после Flush status;команды и не должно увеличиваться дальше.

показывать статус как 'Aborted_connects';

Включает ли «отсутствие зарегистрированного несанкционированного доступа» неудачные попытки входа в систему? Если нет, то это может быть CVE 2012-2122 .

[...] при выполнении в определенных средах с определенными реализациями функции memcmp (MySQL) позволяет удаленным злоумышленникам обходить аутентификацию, многократно проходя аутентификацию с тем же неверным паролем, что в конечном итоге приводит к успешному сравнению токена из-за неправильно проверенной проверки возвращаемое значение