Каморка

паблик IP можно озвучить.
Там в параллельном - кажись политика - говорят что это все фигня.
ПС: Создавать бэкапы на низком уровне - имхо уже поздно.
Надо искать бэкап с незараженной базой, деплоить свежий сервак, деплоить БД, забвать все гвоздями и выставлять в инет.
Старый отключить от всего и курить где тебя хакнули.

borei писал(а): Надо искать бэкап с незараженной базой

Наши ДБ админы 5 лет делали бэкап, который невозможно восстановить.
Догадайтесь, когда это выяснилось?
(с) bash.org

Stanislav писал(а):

borei писал(а): Надо искать бэкап с незараженной базой

Наши ДБ админы 5 лет делали бэкап, который невозможно восстановить.
Догадайтесь, когда это выяснилось?
(с) bash.org

сдается мне не так давно.

borei писал(а): ПС: Создавать бэкапы на низком уровне - имхо уже поздно.

Я имел ввиду для  forensic investigation... чтоб следы не потерялись, типа, кто, кого, и в какой позе...

Marmot писал(а):

borei писал(а): ПС: Создавать бэкапы на низком уровне - имхо уже поздно.

Я имел ввиду для  forensic investigation... чтоб следы не потерялись, типа, кто, кого, и в какой позе...

Не понял сразу.
Да это конечно же.

Stanislav писал(а):Типичная SQL injection. Проверять надо не логи, а код.

типичная теоретическая-что-я-слышал-пальцем-в-небо injection.

какой код? сотни приложений работают с этой базой: asp, asp.net, mvc, куча форм, eще есть ms access clients к этой бд. это как искать иголку в стоге сена. сначала, надо найти дырку, а это легче сделать по логам.

если произошло убийство, то надо определить точное время проишествия и опросить соседей. время я точно оределил из стаистики в бд и поставил тригер, который пишет лог со всеми "плохими" изменениями, но вот в логах ничего путного пока не нашел в момент убийства, соседи молчат.

скрипт оказался пока безобидный, чистится элементарно (да и бекапы есть), но не понятно зачем такое делается? навредить, повысить индекс цитируемости левых ссылок, или просто мастерство на кошечках оттачивают?

пока этим занимался подумал, что это хорошая специальность - ловить хакеров. тут и research, и интуиция, и знания программизма и базы-датерства нужны. интересно, этому где-то учат и как называется это профессия? я бы взял курсы. или может сначала на хакера выучиться?

eprst писал(а): пока этим занимался подумал, что это хорошая специальность - ловить хакеров. тут и research, и интуиция, и знания программизма и базы-датерства нужны. интересно, этому где-то учат и как называется это профессия? я бы взял курсы. или может сначала на хакера выучиться?

https://www.hacking-lab.com/index.html

Gadi писал(а):

eprst писал(а): пока этим занимался подумал, что это хорошая специальность - ловить хакеров. тут и research, и интуиция, и знания программизма и базы-датерства нужны. интересно, этому где-то учат и как называется это профессия? я бы взял курсы. или может сначала на хакера выучиться?

https://www.hacking-lab.com/index.html

ну, это все online да в европе, а хотелось бы живые курсы: в bcit, ubs, sfu. должны же какие-нибудь быть. специальность, вроде бы, нужная и полезная.

eprst писал(а):

Stanislav писал(а):Типичная SQL injection. Проверять надо не логи, а код.

типичная теоретическая-что-я-слышал-пальцем-в-небо injection.
какой код? сотни приложений работают с этой базой: asp, asp.net, mvc, куча форм, eще есть ms access clients к этой бд. это как искать иголку в стоге сена. сначала, надо найти дырку, а это легче сделать по логам.
если произошло убийство, то надо определить точное время проишествия и опросить соседей. время я точно оределил из стаистики в бд и поставил тригер, который пишет лог со всеми "плохими" изменениями, но вот в логах ничего путного пока не нашел в момент убийства, соседи молчат.

Ну, я смотрю вы знаете, что надо делать. Тогда вперед - ищите дырку
Хотя... те, кто знают, что надо делать, обычно такого на форумы не пишут...

Stanislav писал(а): Ну, я смотрю вы знаете, что надо делать. Тогда вперед - ищите дырку
Хотя... те, кто знают, что надо делать, обычно такого на форумы не пишут...

ну, как программист может такое знать? это "первый опыт борьбы против потных рук" поэтому и спрашиваю.бесплатно же

в понедельник дырку нашел, зашили. с тех пор хакер пока не появлялся.
вопрос, вроде как, закрыт, но спортивный интерес остался: кто хакер?

у меня есть sql transaction id, sid, spid, user name + exact time.

можно ли найти host name + ip в системных таблицах бд, логах, и прочее?

в каком логе можно посмотреть кто конектился к базе данных?

eprst писал(а):в понедельник дырку нашел, зашили. с тех пор хакер пока не появлялся.
вопрос, вроде как, закрыт, но спортивный интерес остался: кто хакер?

у меня есть sql transaction id, sid, spid, user name + exact time.

можно ли найти host name + ip в системных таблицах бд, логах, и прочее?

в каком логе можно посмотреть кто конектился к базе данных?

так у вас была ДБ нараспашку? Типа, заходи, кто хочет?

Marmot писал(а):так у вас была ДБ нараспашку? Типа, заходи, кто хочет?

это очень интимный вопрос. рассказывать как-то неохота (по этическим соображениям), но дырка была в бд. могу сказать, что iis & sql логи помогли, а также декарт/сократ/домкрат в голове: "все подвергай сомнению" и "не верь глазам своим"... и триггер, конечно, мой помог, но я только в понедельник додумался host name добавить, но пока не понадобилось

перечитал топик. похоже, на то, что tasko сказал (как буд-то сам хакнул).

а вот некоторым хорошо бы в цирке фокусниками работать - делать из мухи слона: "дырища, метр на метр"

есть тут достойные база датеры и сиська админы, которые могут ответить на поставленные мною вопросы? или мне на другой форум переться?

eprst писал(а):есть тут достойные база датеры и сиська админы, которые могут ответить на поставленные мною вопросы? или мне на другой форум переться?

активные кластеры свои сначало напость, потом поговорим...