[Lugge] Re: mysql

  • From: Stefano Sartini <root@xxxxxxxxxxxxx>
  • To: lugge@xxxxxxxxxxxxx
  • Date: Mon, 13 Oct 2003 10:57:29 +0200

robang@xxxxxxxxx wrote:

|> Roberto A.F. wrote:
|> |> >>controlla di avere PHP con supporto sockets, e controlla che iptables |> >>non blocchi l'accesso alla 3306, la porta del mysqld. Ovviamente deve |> >>essere aperta verso localhost ma chiusa all'esterno, anche perchè la |> >>versione che hai installato è buggata ed explotabile da remoto, con |> >>tanto d rootshell.
|> > |> > |> > ^^^^^^^^^^^^^^^^^^
|> > nel database non ci sarebbe finito nulla di importante, l'intera
|> > macchina non contiene nulla di importante è connessa ad internet con una
|> > dialup quindi l'aspetto sicurezza è trascurabile in quanto è solo un
|> > muletto per le prove.
|> |> Mi sembrano tutte considerazioni di poca rilevanza, uno che riece ad |> avere accesso al tuo PC anche solo per 10 minuti puo' usarlo a suo |> piacimento per attacchi DDoS o per bucare altri PC per mesi, il tutto a |> tua insaputa.


DDOS con una conessione dial-up? ce ne vogliono milioni!
A mia insaputa su una banda di 6kb/sec e su una linea telefonica che uso prima
di tutto per telefonare? Nemmeno fossero dialer per windows!

Rootkit + qsiasi tipo d flooder (e magari relativo client in listen UDP) che sfrutti il principio d amplifier (buon vecchio smurf & derivati o i nuovi flooder che sfruttao IGMP o i gameserver in UDP) e da un dialup puo' partire un attacco di qualche MBit. Testato e provato personalmente.


Muletto ergo lo spazzolo via quando ho finito di fare le prove...

Questo è già piu' sensato, ma t sei perso il punto: il mio voleva essere un consiglio per chi da per scontato che il proprio PC non possa essere usato per scopi illeciti, e non era rivolto a te nello specifico, o al tuo piccolo mulo :)


|> Mi sembra un "pessimo esempio" liquidare l'aspetto sicurezza con "nel |> database non ci sarebbe finito nulla di importante", anche perchè il |> giorno che la finanza t viene a chiedere perchè un certo tipo di attacco |> è partito dal tuo PC, penso che dovrai inventare qualcosa di meglio...

 ...qualcosa di meglio di una trama da film di fantascienza?
 ;-)

Spero per te che non ti succeda, perchè il giorno che ti citofonano i pompieri dicendoti che c'è un principio di incendio, tu apri e dietro a 2 (falsi) pompieri t entrano in casa 4 finanzieri, allora io credo che non la prenderai così alla leggera.
IMHO, la sicurezza dovrebbe fare parte del processo mentale con cui uno fa le cose (*tutte* le cose), e non liquidarla come uno scomodo optional.
Se poi credi che sia fantascienza, sei parecchio furistrada :)


|> Non è una flame, è una semplice considerazione ad uso e consumo di chi a |> volte trascura la sicurezza del proprio PC pensando che "tanto cosa vuoi |> che succeda..."


Ribadisco: non e` un flame e` fantascienza! :D

E io mi permetto umilmente di farti notare che ne sai troppo poco per dire che è fantascienza ;)


--
Roberto A. Foglietta

Stefano


========---------- Prima di scrivere in m-list per favore leggi il regolamento http://www.lugge.net/soci/index.php?link=manifesto

Archivio delle e-mail postate in lista http://www.freelists.org/archives/lugge/

Modifica dell'account sulla lista LUGGe http://www.lugge.net/soci/index.php?link=manifesto.htm#list

Other related posts: