我知道某人的服务器安装了 cPanel/WHM 和 phpBB 3.0.x,遭到了针对 phpBB(或其插件)的 MySQL 注入攻击。某些信息被泄露,但我们不知道泄露的程度。是否可以通过检查日志来确定泄露了哪些信息?谢谢!
答案1
你能确定相关数据是否有被盗吗?
是的,有可能。
如果攻击者仅使用 SQL 注入,无法进一步提升权限,则系统日志可能仍然可靠。这可能允许您追踪攻击者的一些步骤。
问题是,例如默认情况下大多数 Web 服务器都会记录请求的 URL,尽管这些 URL 通常包含 GET 请求参数,但它们不包含 POST 请求参数的值。
对于 MySQL 数据库服务器也是如此,在生产系统上,记录所有查询的情况非常少见,因为您可能会收集大量 MySQL 事件,而更常用的事务日志仅记录更新数据库的查询,而不是可能用于窃取数据的 SELECT 语句。
您可能会“幸运”地找到攻击者上传或下载的脚本/二进制文件等。
但实际上,可能并非如此