Vlákno názorů k článku
Více než 3,6 milionů serverů MySQL je dostupných z internetu
od martyd420 - Takto otevřený přístup k serveru může vytvářet prostor...
-
Takto otevřený přístup k serveru může vytvářet prostor pro útočníky.
...jde o servery, ke kterým se skutečně podařilo připojit a získat od nich uvítací hlášku.
- . - . - . -
A co teprve takový Apache... To je prostoru pro útočníky, neměli by jsme je vypnout? Nebo když se dá server do zásuvky a zapne, to se otevře prostoru pro útočníky...
Tyhle "studie" mají výstupy odpovídající prohlášení: "Když máte doma dveře, dveře můžou být otevřeny. Odstraňte dveře." -
Filip JirsákStříbrný podporovatelJá jsem to ze zprávičky nepochopil, jestli je jen o otevřené porty, na které jde navázat TCP/IP spojení a přihlásí se tam MySQL (což by vlastně nebylo nic proti ničemu, pokud je tam aktuální verze MySQL a bezpečná hesla), nebo jestli se tam dalo přihlásit nějakými obecně známými přihlašovacími údaji (což by byl pořádný průšvih).
-
Filip JirsákStříbrný podporovatel
Když to zpráva uvádí jasně, tak mi to jistě dokážete přeložit. Podařilo se tedy k těm serverům přihlásit nebo ne?
Drobná nápověda: na serveru mi běží SSH na standardní portu 22. Takže jde o server, ke kterému se vám skutečně podaří připojit a získáte od něj uvítací hlášku. Konkrétně se mi v klientovi zobrazí uvítací hláška „login as:“. Teprve pak zadávám login. Já na tom nic nebezpečného nevidím. U databází je to poněkud netradiční, nebývá zvykem databáze vystavovat do internetu – ale může k tomu být dobrý důvod a ta databáze vy to měla ustát. Pokud to neustojí a nepřihlášený uživatel ji může třeba shodit, bál bych se takovou databázi provozovat i schovanou za firewallem. Protože to svědčí o špatném návrhu.
-
Filip JirsákStříbrný podporovatel
Na základě čeho tak soudíte? Ve zprávičce se píše, že se nepokoušeli získat přístup k datům, což je něco jiného.
Jinak já si také myslím, že je to tak, jak píšete. Ale pak je to trochu jako objev, že na internetu jsou miliony serverů s naslouchajícím SSH serverem, miliony SMTP serverů, miliony IMAP serverů, miliony HTTPS serverů.
-
Je velký rozdíl mezi SW, který zpřístupňuje neveřejná data i pro zápis (databáze), a SW zpřístupňující data záměrně veřejně a jen pro čtení (Apache).
Je též velký rozdíl mezi mnoha léty a detailně prověřený SW (SSH, Apache) a SW který má implicitně známý účet a přístup bez hesla a je obecně známo, že to většina lidí ignoruje (MySQL).
4. 6. 2022, 10:19 editováno autorem komentáře
-
Filip JirsákStříbrný podporovatel
Apache často zpřístupňuje data i pro zápis. A data v té MySQL mohou být veřejná.
MySQL je také prověřený mnoha léty – a pokud mu někdo nedůvěřuje z hlediska zabezpečení, je otázka, proč mu důvěřuje v jiných oblastech.
Implicitně známý účet a přístup bez hesla je jiná věc – ale to je zase něco, co by mělo být vyřešené, i když je MySQL za firewallem.
