第 1 頁 (共 2 頁)
[問題]可以通過MySQL伺服器來入侵嗎?
發表於 : 2002-04-12 15:20
由 air
我在家裏架了個phpBB2的站,不過我沒有設定mysql伺服器的密碼\r
只是用預設的帳號跟密碼,這樣子會不會很不安全?會不會被人透過
MySQL伺服器入侵我的電腦?
發表於 : 2002-04-12 16:19
由 oO]-[Oo
理論上是絕對不安全的, 入侵電腦我是不知道啦, 不過把你DB清光光是絕對可以的
發表於 : 2002-04-12 16:26
由 air
DB清空?應該不會吧!我又不許任何人傳php的檔案到我的電腦,我連phpmyadmin(不知道是不是\r
這個名)的檔案都沒裝,就只有phpBB2的文件,這足夠讓他們清空我的資料嗎?
發表於 : 2002-04-12 16:26
由 frank
預設不是不用密碼嘛??...
root 不用密碼
發表於 : 2002-04-12 16:36
由 oO]-[Oo
你知道RC4之前的漏洞, 就是有人利用phpBB裡面的script攻擊mySQL..
不過這個攻擊, 就算你加密碼也沒用@@"
發表於 : 2002-04-12 16:37
由 air
不怕告訴你啦!我用的預設密碼就是\r
帳號:"root"
密碼:""
[討論]理論上是可以的哦...
發表於 : 2002-04-12 16:38
由 Jacch
理論上是可以的哦\r
但是一定是非正常的管道.
如果要用正規的方式大概是不可能的.
mysql的 執行shell 是無法登入的.
像bind一樣都是沒有密碼,就沒有辨法登入,
但是用工具的話就不知道了.
他可以攻擊頂多滅了你的資料庫,
系統的話比較不可能,
有沒有人這樣搞過呀
#passwd mysql
password: xxxxxx
讓mysql可以用shell登入 ^ ^||||
下次來玩玩看...
發表於 : 2002-04-12 16:41
由 oO]-[Oo
=_=..你再鐵齒, 出事我不管
發表於 : 2002-04-12 16:43
由 air
OOHOO 寫:你知道RC4之前的漏洞, 就是有人利用phpBB裡面的script攻擊mySQL..
不過這個攻擊, 就算你加密碼也沒用@@"
不知道丫,我還是拿了phpBB2-rc3的來玩.對了,能說詳細一點嗎?是那幾個檔案有問題
以及怎樣攻擊?我也想自己攻擊自己的mysql看看有什麼致命的漏洞.
[分享]那你的權限可要設好 ...^ ^
發表於 : 2002-04-12 16:45
由 Jacch
那你的權限可要設好 ...^ ^
不要讓其他的 主機可以連到你的mysql不然你就 ...
發表於 : 2002-04-12 16:49
由 oO]-[Oo
發表於 : 2002-04-12 16:49
由 air
OOHOO 寫:=_=..你再鐵齒, 出事我不管
放心,我家裏那個是拿來玩的,很少公開,最多也是叫一些友善的網友來注個冊做個
測試.
我現在沒開,不過我很擔心別入可以透過mysql控制電腦\r
(用家裏的開這麼慢還會有誰上來^^")
發表於 : 2002-04-12 17:12
由 oO]-[Oo
人家要控制你的電腦, 其實不會用mySQLㄟ.. ㄏㄏ
發表於 : 2002-04-12 17:12
由 小竹子
air 寫:OOHOO 寫:=_=..你再鐵齒, 出事我不管
放心,我家裏那個是拿來玩的,很少公開,最多也是叫一些友善的網友來注個冊做個
測試.
我現在沒開,不過我很擔心別入可以透過mysql控制電腦\r
(用家裏的開這麼慢還會有誰上來^^")
想被炸喔
那等我
我去ping你
hohoho
發表於 : 2002-04-12 17:27
由 air
我看完了,還拿了這主機跟我的當測試(不好意思,別打我,我只不過想看看是不是一樣的顯示而已,以後不敢了)不過為什麼不一樣?我的phpBB都是在你這下載的丫\r
你的顯示
===================
Hacking attempt
我的顯示:
Warning: Failed opening 'http://????.????.??/phpbb/db/mysql./../../db_settings.php' for inclusion (include_path='.') in /mnt/host-users/?????/phpbb/includes/db.php on line 26
Fatal error: Cannot instantiate non-existent class: sql_db in /mnt/host-users/?????/phpbb/includes/db.php on line 55