[問題]可以通過MySQL伺服器來入侵嗎?

[air]

我在家裏架了個phpBB2的站,不過我沒有設定mysql伺服器的密碼\r
只是用預設的帳號跟密碼,這樣子會不會很不安全?會不會被人透過
MySQL伺服器入侵我的電腦?

[oO]-[Oo]

理論上是絕對不安全的, 入侵電腦我是不知道啦, 不過把你DB清光光是絕對可以的

[air]

DB清空?應該不會吧!我又不許任何人傳php的檔案到我的電腦,我連phpmyadmin(不知道是不是\r
這個名)的檔案都沒裝,就只有phpBB2的文件,這足夠讓他們清空我的資料嗎?

[frank]

預設不是不用密碼嘛??...
root 不用密碼

[oO]-[Oo]

你知道RC4之前的漏洞, 就是有人利用phpBB裡面的script攻擊mySQL..
不過這個攻擊, 就算你加密碼也沒用@@"

[air]

不怕告訴你啦!我用的預設密碼就是\r
帳號:"root"
密碼:""

[Jacch]

理論上是可以的哦\r
但是一定是非正常的管道.

如果要用正規的方式大概是不可能的.
mysql的 執行shell 是無法登入的.
像bind一樣都是沒有密碼,就沒有辨法登入,
但是用工具的話就不知道了.

他可以攻擊頂多滅了你的資料庫,
系統的話比較不可能,

有沒有人這樣搞過呀

#passwd mysql
password: xxxxxx

讓mysql可以用shell登入 ^ ^||||
下次來玩玩看...

[oO]-[Oo]

=_=..你再鐵齒, 出事我不管

[air]

你知道RC4之前的漏洞, 就是有人利用phpBB裡面的script攻擊mySQL..
不過這個攻擊, 就算你加密碼也沒用@@"

不知道丫,我還是拿了phpBB2-rc3的來玩.對了,能說詳細一點嗎?是那幾個檔案有問題
以及怎樣攻擊?我也想自己攻擊自己的mysql看看有什麼致命的漏洞.

[Jacch]

那你的權限可要設好 ...^ ^
不要讓其他的 主機可以連到你的mysql不然你就 ...

[oO]-[Oo]

http://sourceforge.net/tracker/?func=de ... up_id=7885

去看看吧, RC3正好包含在攻擊的範圍內

[air]

=_=..你再鐵齒, 出事我不管

放心,我家裏那個是拿來玩的,很少公開,最多也是叫一些友善的網友來注個冊做個
測試.

我現在沒開,不過我很擔心別入可以透過mysql控制電腦\r
(用家裏的開這麼慢還會有誰上來^^")

[oO]-[Oo]

人家要控制你的電腦, 其實不會用mySQLㄟ.. ㄏㄏ

[小竹子]

=_=..你再鐵齒, 出事我不管

放心,我家裏那個是拿來玩的,很少公開,最多也是叫一些友善的網友來注個冊做個
測試.

我現在沒開,不過我很擔心別入可以透過mysql控制電腦\r
(用家裏的開這麼慢還會有誰上來^^")

想被炸喔
那等我
我去ping你
hohoho

[air]

我看完了,還拿了這主機跟我的當測試(不好意思,別打我,我只不過想看看是不是一樣的顯示而已,以後不敢了)不過為什麼不一樣?我的phpBB都是在你這下載的丫\r

你的顯示
===================
Hacking attempt


我的顯示:
Warning: Failed opening 'http://????.????.??/phpbb/db/mysql./../../db_settings.php' for inclusion (include_path='.') in /mnt/host-users/?????/phpbb/includes/db.php on line 26

Fatal error: Cannot instantiate non-existent class: sql_db in /mnt/host-users/?????/phpbb/includes/db.php on line 55