Server gehackt - wo liegen die Datenbanktabellen?

MySQL, PostgreSQL, SQLite
Anonymous

Server gehackt - wo liegen die Datenbanktabellen?

Post by Anonymous » 2003-10-17 18:42

Hi!

Gestern wurde mein Server gehackt. Die Passwörter sind geändert und alle index.* sind mit einem Hackerspruch überschrieben.

Code: Select all

delirium. c2r. vsf =P amo a ge :o******o: qr falar comigo?? irc.brasnet.org - c2r :P
Mit dem Rescure System habe ich nun alle Dateien gesichert, aber ich finde die Datenbanktabellen nicht.

In /var/lib/mysql liegt eine 146MB Große p15xxxxxx-bin.001 in der Confixx anscheinend Verwaltungsdaten ablegt.

Wo liegen die Usertabellen? Da meine wichtigste Seite ein CMS ist ist sie ohne die Tabellen tot.

Habe einen Rootserver bei 1&1 mit SuSE.

MfG
Wolfgang

stefanpropehan
Posts: 335
Joined: 2002-12-17 22:25
Location: Berlin

Re: Server gehackt - wo liegen die Datenbanktabellen?

Post by stefanpropehan » 2003-10-17 20:20

also die *.bin datei wird bei der replikation zweier mysql-server benötigt...

im gleichen verzeichniss sollten auch die db liegen....

ansonsten ist das datadir auch in der /etc/my.cnf oder im init script angegeben...

odysseus
Posts: 115
Joined: 2003-02-07 10:21

Re: Server gehackt - wo liegen die Datenbanktabellen?

Post by odysseus » 2003-10-18 12:38

Die p15xxxxxx-bin.001 ist zwar nur eine Log-Datei, aber falls deine Datenbank gedroppt wurde, könnte man sie aus der glaube ich wieder herstellen - also nicht löschen!

Im Verzeichnis /var/lib/mysql sollten bei SuSE die Datenbanken liegen. JEde Datenbank hat hier ein weiteres Unterverzeichnis. Wenn deine Datenbank also z.B. usr_web1_1 heißt, dann geh mal in folgendes Verzeichnis:

cd /var/lib/mysql/usr_web1_1/

Mir "dir" kannst du dir die Dateien anzeigen lassen. Diese Dateien sind die Datenbanktabellen, die du in Sicherheit bringen solltest!

Besser wäre es u.U. jedoch, nicht einfach diese Dateien zu kopieren, sondern einen orderntlichen Dump anzulegen, der dann nach der Re-Initialisierung deines Servers eingespielt wird. Den Dump machst du so:

mysqldump -uroot -pROOTPASSWORT -hlocalhost usr_web1_1 > /tmp/backup_usr_web1_1.sql

Du kannst ihn auch noch komprimieren:
gzip -9 --best /tmp/backup_usr_web1_1.sql

So sicherst du die Datenbank "usr_web1_1". Wenn du andere DB's hast, solltest du genauso mit ihnen verfahren.


Ach ja: Lass am besten den Server neu aufsetzen, nachdem du alles gesichert hast!!! Denke dir in Zukunft gute Passwörter aus (mind. 10 Zeichen, inkl. Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen) und aktiviere den PHP SafeMode.

stefanpropehan
Posts: 335
Joined: 2002-12-17 22:25
Location: Berlin

Re: Server gehackt - wo liegen die Datenbanktabellen?

Post by stefanpropehan » 2003-10-18 13:12

Odysseus wrote:Die p15xxxxxx-bin.001 ist zwar nur eine Log-Datei, aber falls deine Datenbank gedroppt wurde, könnte man sie aus der glaube ich wieder herstellen - also nicht löschen!
mhh ich dachte ich hätte oben schon geschrieben das *.bin Dateien sind binäre log Dateien die zur Replikation zweier server benutzt werden... und aus dieser lassen sich die mysql-db nicht wieder herstellen... :-D
Odysseus wrote: Im Verzeichnis /var/lib/mysql sollten bei SuSE die Datenbanken liegen. JEde Datenbank hat hier ein weiteres Unterverzeichnis. Wenn deine Datenbank also z.B. usr_web1_1 heißt, dann geh mal in folgendes Verzeichnis:
mhh hatte ich oben auch schon geschrieben.... aber najanu... :-D
Odysseus wrote: Besser wäre es u.U. jedoch, nicht einfach diese Dateien zu kopieren, sondern einen orderntlichen Dump anzulegen, der dann nach der Re-Initialisierung deines Servers eingespielt wird. Den Dump machst du so:

mysqldump -uroot -pROOTPASSWORT -hlocalhost usr_web1_1 > /tmp/backup_usr_web1_1.sql
mhh nun kann er aber im rescue system (siehe oben) schlecht einen dump erstellen... :-D
Odysseus wrote: Ach ja: Lass am besten den Server neu aufsetzen, nachdem du alles gesichert hast!!! Denke dir in Zukunft gute Passwörter aus (mind. 10 Zeichen, inkl. Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen) und aktiviere den PHP SafeMode.
die aussage lasse ich einfach mal so stehen... ob das ein system sicher macht - sei jedem rootserver besitzer selbst überlassen... :lol:

User avatar
Joe User
Project Manager
Project Manager
Posts: 11137
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Server gehackt - wo liegen die Datenbanktabellen?

Post by Joe User » 2003-10-18 13:15

Odysseus wrote:Mir "dir" kannst du dir die Dateien anzeigen lassen.
s/"dir"/"ls"/

gamecrash
Posts: 339
Joined: 2002-05-27 10:52

Re: Server gehackt - wo liegen die Datenbanktabellen?

Post by gamecrash » 2003-10-18 14:11

Unter SuSE ist dir = ls -l

coolsurfer
Posts: 61
Joined: 2002-05-01 18:16

Re: Server gehackt - wo liegen die Datenbanktabellen?

Post by coolsurfer » 2003-10-18 17:40

Hi,
mhh ich dachte ich hätte oben schon geschrieben das *.bin Dateien sind binäre log Dateien die zur Replikation zweier server benutzt werden... und aus dieser lassen sich die mysql-db nicht wieder herstellen...
wenn du jetzt noch einen plausiblen Grund nennst, warum das nicht gehen sollte - mal ganz davon abgesehen steht bei mysql.com dass es geht - dann glaub ich es dir vielleicht.

coolsurfer

User avatar
Joe User
Project Manager
Project Manager
Posts: 11137
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Server gehackt - wo liegen die Datenbanktabellen?

Post by Joe User » 2003-10-18 18:17

GameCrash wrote:Unter SuSE ist dir = ls -l
Das ist kein Grund Jemandem eine falsche Syntax beizubringen! Zudem existiert dieser Alias nicht auf jedem SuSE...

oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Server gehackt - wo liegen die Datenbanktabellen?

Post by oxygen » 2003-10-18 18:33

coolsurfer wrote:Hi,
mhh ich dachte ich hätte oben schon geschrieben das *.bin Dateien sind binäre log Dateien die zur Replikation zweier server benutzt werden... und aus dieser lassen sich die mysql-db nicht wieder herstellen...
wenn du jetzt noch einen plausiblen Grund nennst, warum das nicht gehen sollte - mal ganz davon abgesehen steht bei mysql.com dass es geht - dann glaub ich es dir vielleicht.

coolsurfer
Wenn man ein SnapShot der Datenbank hat, wie sie zum Zeitpunkt des Begin des binlogs war, geht das. Wenn man natürlich alle BinLogs seit Begin des Serverbetrieb hat, gehts. Aber im Normalfall hilft einem der binlog alleine nicht weiter.

gamecrash
Posts: 339
Joined: 2002-05-27 10:52

Re: Server gehackt - wo liegen die Datenbanktabellen?

Post by gamecrash » 2003-10-18 19:57

Joe User wrote:
GameCrash wrote:Unter SuSE ist dir = ls -l
Das ist kein Grund Jemandem eine falsche Syntax beizubringen! Zudem existiert dieser Alias nicht auf jedem SuSE...
ich sehe nicht, wo das syntaktisch falsch wäre... man kanns auch wirklich übertreiben mit der Alles-Was-Aus-Redmond-Kommt-Ist-Vom-Teufel-Besessen... den Alias haben fast alle Distris drin - übrigens sogar Debian ;)

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Server gehackt - wo liegen die Datenbanktabellen?

Post by captaincrunch » 2003-10-18 20:05

ich sehe nicht, wo das syntaktisch falsch wäre... man kanns auch wirklich übertreiben mit der Alles-Was-Aus-Redmond-Kommt-Ist-Vom-Teufel-Besessen... den Alias haben fast alle Distris drin - übrigens sogar Debian
Ein "dir" ist zwar sytaktisch nicht falsch, unter Unix ist und bleibt das Kommando, sich Files oder Directories anzeigen zu lassen nun mal ls, egal, ob dafür ein Alias existiert oder nicht.
Setz mal einen "SuSE-Verwöhnten", der sich auf solche Aliase verläst vor ein "richtiges" Unix, und ich prophezeie, dass er sich fast gar nicht mehr zurechtfinden wird.

Es geht gerade für Joe User, der (da bin ich verdammt sicher) am allerwenigsten in die "Anti-M$"-Ecke gedrängt werden kann nicht um den immerwährenden OS-Flame, sondern einzig und allein um o.g. Punkte.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

User avatar
Joe User
Project Manager
Project Manager
Posts: 11137
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Server gehackt - wo liegen die Datenbanktabellen?

Post by Joe User » 2003-10-18 23:10

CaptainCrunch wrote:Es geht gerade für Joe User, der (da bin ich verdammt sicher) am allerwenigsten in die "Anti-M$"-Ecke gedrängt werden kann nicht um den immerwährenden OS-Flame, sondern einzig und allein um o.g. Punkte.
ACK und danke für die Klarstellung.