13
Aus dem Internet erreichbare MySQL- bzw. MariaDB-Server
Hi zusammen,
mein Chef hat mir folgendes E-Mail weitergeleitet (Auszüge davon):
---------------------------- Original Message ----------------------------
Subject: [CB-Report#20250319-112345678] Offen erreichbare MySQL/MariaDB-Server in AS123456
From: "CERT-Bund Reports" <reports@reports.cert-bund.de>
Date: Wed, March 19, 2025 10:01
To: abuse@active-servers.com
[English version below]
* Wichtige Sicherheitsinformation *
Sehr geehrte Damen und Herren,
MySQL und MariaDB sind relationale Datenbank-Managementsysteme (DBMS),
die häufig im Zusammenhang mit Webanwendungen eingesetzt werden.
Unbefugte Zugriffe auf das DBMS unter Ausnutzung von Schwachstellen,
Fehlkonfigurationen oder mittels ausgespähter Zugangsdaten können dazu
führen,
dass Angreifende in den Datenbanken gespeicherten Informationen ausspähen,
manipulieren oder löschen können, was weitreichende Folgen haben kann.
Zum Schutz vor Angriffen sollte ein Zugriff auf das DBMS daher grundsätzlich
nur vom Anwendungsserver sowie von vertrauenswürdigen Administrationsnetzen
(ggf. über eine VPN-Anbindung) aus möglich sein. Keinesfalls sollte ein
direkter Zugriff aus dem Internet auf das DBMS erlaubt sein.
Nachfolgend senden wir Ihnen eine Liste von IP-Adressen in Ihrem
Netzbereich, unter denen zum angegebenen Zeitpunkt (Zeitstempel UTC)
offen aus dem Internet erreichbare MySQL/MariaDB-Server identifiziert wurden.
Wir möchten Sie bitten, den Sachverhalt zu prüfen und entsprechende
Maßnahmen zur Absicherung betroffener Systeme zu ergreifen.
Diese E-Mail ist mittels PGP digital signiert.
Informationen zu dem verwendeten Schlüssel finden Sie unter:
<https://reports.cert-bund.de/digitale-signatur>
Bitte beachten Sie:
Dies ist eine automatisch generierte Nachricht. Antworten an die
Absenderadresse <reports@reports.cert-bund.de> werden NICHT gelesen
und automatisch verworfen. Bei Rückfragen wenden Sie sich bitte
unter Beibehaltung der Ticketnummer [CB-Report#...] in der
Betreffzeile an <certbund@bsi.bund.de>.
Betroffene Systeme in Ihrem Netzbereich:
Affected hosts on your networks:
"asn","ip","timestamp","port","version"
"123456","123.123.123.123","2025-03-18
16:44:25","3306","5.5.5-10.5.28-MariaDB-0+deb11u1"
Auf dieser IP laufen 5 Joomla-Webseiten, jedoch reine Präsenzseiten ohne User-Login-Funktionen (bis auf einen zentralen Gast-Login für Seitenbereiche wo nur Kunden zugreifen können) und auch nur einen Admin-Login.
Daher ist da nix zu klauen :D
Kann man diesen Port 3306 schliessen so dass er nicht mehr erreichbar ist oder wie würdet ihr vorgehen?
Oder ist das eine reine Hoster-Sache und es war nur ein Info-Mail an uns?
wir wissen nicht wirklich was wir damit anfangen sollen.
mein Chef hat mir folgendes E-Mail weitergeleitet (Auszüge davon):
---------------------------- Original Message ----------------------------
Subject: [CB-Report#20250319-112345678] Offen erreichbare MySQL/MariaDB-Server in AS123456
From: "CERT-Bund Reports" <reports@reports.cert-bund.de>
Date: Wed, March 19, 2025 10:01
To: abuse@active-servers.com
[English version below]
* Wichtige Sicherheitsinformation *
Sehr geehrte Damen und Herren,
MySQL und MariaDB sind relationale Datenbank-Managementsysteme (DBMS),
die häufig im Zusammenhang mit Webanwendungen eingesetzt werden.
Unbefugte Zugriffe auf das DBMS unter Ausnutzung von Schwachstellen,
Fehlkonfigurationen oder mittels ausgespähter Zugangsdaten können dazu
führen,
dass Angreifende in den Datenbanken gespeicherten Informationen ausspähen,
manipulieren oder löschen können, was weitreichende Folgen haben kann.
Zum Schutz vor Angriffen sollte ein Zugriff auf das DBMS daher grundsätzlich
nur vom Anwendungsserver sowie von vertrauenswürdigen Administrationsnetzen
(ggf. über eine VPN-Anbindung) aus möglich sein. Keinesfalls sollte ein
direkter Zugriff aus dem Internet auf das DBMS erlaubt sein.
Nachfolgend senden wir Ihnen eine Liste von IP-Adressen in Ihrem
Netzbereich, unter denen zum angegebenen Zeitpunkt (Zeitstempel UTC)
offen aus dem Internet erreichbare MySQL/MariaDB-Server identifiziert wurden.
Wir möchten Sie bitten, den Sachverhalt zu prüfen und entsprechende
Maßnahmen zur Absicherung betroffener Systeme zu ergreifen.
Diese E-Mail ist mittels PGP digital signiert.
Informationen zu dem verwendeten Schlüssel finden Sie unter:
<https://reports.cert-bund.de/digitale-signatur>
Bitte beachten Sie:
Dies ist eine automatisch generierte Nachricht. Antworten an die
Absenderadresse <reports@reports.cert-bund.de> werden NICHT gelesen
und automatisch verworfen. Bei Rückfragen wenden Sie sich bitte
unter Beibehaltung der Ticketnummer [CB-Report#...] in der
Betreffzeile an <certbund@bsi.bund.de>.
Betroffene Systeme in Ihrem Netzbereich:
Affected hosts on your networks:
"asn","ip","timestamp","port","version"
"123456","123.123.123.123","2025-03-18
16:44:25","3306","5.5.5-10.5.28-MariaDB-0+deb11u1"
Auf dieser IP laufen 5 Joomla-Webseiten, jedoch reine Präsenzseiten ohne User-Login-Funktionen (bis auf einen zentralen Gast-Login für Seitenbereiche wo nur Kunden zugreifen können) und auch nur einen Admin-Login.
Daher ist da nix zu klauen :D
Kann man diesen Port 3306 schliessen so dass er nicht mehr erreichbar ist oder wie würdet ihr vorgehen?
Oder ist das eine reine Hoster-Sache und es war nur ein Info-Mail an uns?
wir wissen nicht wirklich was wir damit anfangen sollen.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672074
Url: https://administrator.de/forum/aus-dem-internet-erreichbare-mysql-bzw-mariadb-server-672074.html
Ausgedruckt am: 20.03.2025 um 23:03 Uhr
13 Kommentare
Neuester Kommentar
Betreibt Ihr einen Server? Dann ist das ganz klar euer Bier. Ich würde 3306 schließen und gleich nochmal schauen ob da nicht noch mehr Firewalltechnisch im Argen liegt.
Wenn es sich um ein Webhosting handelt ( was ich mir nicht vorstellen kann, sonst wäre der Abuse sicher direkt an den Provider gegangen), ist es Aufgabe des Hostingproviders
Wenn es sich um ein Webhosting handelt ( was ich mir nicht vorstellen kann, sonst wäre der Abuse sicher direkt an den Provider gegangen), ist es Aufgabe des Hostingproviders
bind-address auf 127.0.0.1 beschränken.
Gruß
Gruß
4
Moin,
ouha: wenn Ihr die Instanzen im Keller bei euch lokal betreibt -> SuperGAU.
Klauen ist das Eine, sich dadurch Zugriff auf den Host zu verschaffen und ggf. auch in euer Netzwerk, das andere.
Prüfe dringend deine FW und biege das asap gerade. Könnte mir vorstellen, dass da einiges mehr schief läuft.
Schonmal ein Portscan über eure IP geschossen!?
Geht es um ein Webhostingprodukt welches extern gehostet ist -> nicht dein Bier. (würde trotzdem dem Hoster ggf. informieren).
Ohweia,..
Gruß
Edit: 'n Bier wäre jetzt was feines..
ouha: wenn Ihr die Instanzen im Keller bei euch lokal betreibt -> SuperGAU.
Klauen ist das Eine, sich dadurch Zugriff auf den Host zu verschaffen und ggf. auch in euer Netzwerk, das andere.
Prüfe dringend deine FW und biege das asap gerade. Könnte mir vorstellen, dass da einiges mehr schief läuft.
Schonmal ein Portscan über eure IP geschossen!?
Kann man diesen Port 3306 schliessen so dass er nicht mehr erreichbar ist oder wie würdet ihr vorgehen?
Hmpf. Fähigen Admin ran lassen.Geht es um ein Webhostingprodukt welches extern gehostet ist -> nicht dein Bier. (würde trotzdem dem Hoster ggf. informieren).
Ohweia,..
Gruß
Edit: 'n Bier wäre jetzt was feines..
1
@Michi91 ich weiss momentan nur dass ich mich auf die IP in plesk anmelde und dort mit den 5 Domains und Webspace arbeiten kann. Ich erinner mich dass mein Chef mal was von einem vServer gesagt hat weil der langsamer ist wie der alte Webspace. Genaues Setup müsste ich ihn aber einmal fragen was er da gemietet hat.
Wie ich was schliesse oder beschränke weiss ich leider nicht, das ist ausserhalb meiner oberflächlichen Materie...
Wie ich was schliesse oder beschränke weiss ich leider nicht, das ist ausserhalb meiner oberflächlichen Materie...
@mirdochegal ein tracert auf die ip leitet mich über 15 Zeilen nach Ecke Frankfurt - also bei uns im Keller isses nich.
Das Fwd-E-Mail kommt von active-servers.com (die sind wohl unser Hoster)
Das Fwd-E-Mail kommt von active-servers.com (die sind wohl unser Hoster)
Zitat von @m.ster:
@mirdochegal ein tracert auf die ip leitet mich über 15 Zeilen nach Ecke Frankfurt - also bei uns im Keller isses nich.
Das Fwd-E-Mail kommt von active-servers.com (die sind wohl unser Hoster)
@mirdochegal ein tracert auf die ip leitet mich über 15 Zeilen nach Ecke Frankfurt - also bei uns im Keller isses nich.
Das Fwd-E-Mail kommt von active-servers.com (die sind wohl unser Hoster)
Dann such doch da mal das Gespräch. Auch da wäre es ungeil, ne SQL Instanz ungeschützt ins Netz zu hängen
Gruß
Zitat von @m.ster:
@Michi91 ich weiss momentan nur dass ich mich auf die IP in plesk anmelde und dort mit den 5 Domains und Webspace arbeiten kann. Ich erinner mich dass mein Chef mal was von einem vServer gesagt hat weil der langsamer ist wie der alte Webspace. Genaues Setup müsste ich ihn aber einmal fragen was er da gemietet hat.
Wie ich was schliesse oder beschränke weiss ich leider nicht, das ist ausserhalb meiner oberflächlichen Materie...
@Michi91 ich weiss momentan nur dass ich mich auf die IP in plesk anmelde und dort mit den 5 Domains und Webspace arbeiten kann. Ich erinner mich dass mein Chef mal was von einem vServer gesagt hat weil der langsamer ist wie der alte Webspace. Genaues Setup müsste ich ihn aber einmal fragen was er da gemietet hat.
Wie ich was schliesse oder beschränke weiss ich leider nicht, das ist ausserhalb meiner oberflächlichen Materie...
Hier direkt mit deinem Chef sprechen. Man kann auch in Plesk einstellen, dass er nur lokal erreichbar ist und auch in Plesk in den Firewall Einstellungen den Prot schließen. Bitte auch mal die anderen Ports prüfen lassen, z.B. ssh Port etc. Wenn du sowieso keine Ahnung hast, dann lass mal jemanden drauf schauen der sich damit auskennt.
also die Web Application Firewalls sind bei allen 5 Domains an.
Unter Hosting steht bei allen unter SSH Zugriff "Forbidden".
Portchecker online sagt
Result: 123.456.789.0
ftp-data (20) Not Available Port 20 on 123.456.789.0 ist geschlossen!
ftp (21) Success Port 21 on 123.456.789.0 offen!
ssh (22) Success Port 22 on 123.456.789.0 offen!
telnet (23) Not Available Port 23 on 123.456.789.0 ist geschlossen!
smtp (25) Not Available Port 25 on 123.456.789.0 ist geschlossen!
domain (53) Success Port 53 on 123.456.789.0 offen!
http (80) Success Port 80 on 123.456.789.0 offen!
pop3 (110) Success Port 110 on 123.456.789.0 offen!
(115) Not Available Port 115 on 123.456.789.0 ist geschlossen!
https (443) Success Port 443 on 123.456.789.0 offen!
ms-sql-s (1433) Not Available Port 1433 on 123.456.789.0 ist geschlossen!
mysql (3306) Success Port 3306 on 123.456.789.0 offen!
ms-wbt-server (3389) Not Available Port 3389 on 123.456.789.0 ist geschlossen!
(5900) Not Available Port 5900 on 123.456.789.0 ist geschlossen!
http-alt (8080) Not Available Port 8080 on 123.456.789.0 ist geschlossen!
Morgen ist Chef im Haus, da können wir was schauen. Meine Login-Oberfläche ist eher abgespeckter. Wo blockt man die denn im Plesk? Für die komplette IP, nicht für Domains einzeln oder?
Unter Hosting steht bei allen unter SSH Zugriff "Forbidden".
Portchecker online sagt
Result: 123.456.789.0
ftp-data (20) Not Available Port 20 on 123.456.789.0 ist geschlossen!
ftp (21) Success Port 21 on 123.456.789.0 offen!
ssh (22) Success Port 22 on 123.456.789.0 offen!
telnet (23) Not Available Port 23 on 123.456.789.0 ist geschlossen!
smtp (25) Not Available Port 25 on 123.456.789.0 ist geschlossen!
domain (53) Success Port 53 on 123.456.789.0 offen!
http (80) Success Port 80 on 123.456.789.0 offen!
pop3 (110) Success Port 110 on 123.456.789.0 offen!
(115) Not Available Port 115 on 123.456.789.0 ist geschlossen!
https (443) Success Port 443 on 123.456.789.0 offen!
ms-sql-s (1433) Not Available Port 1433 on 123.456.789.0 ist geschlossen!
mysql (3306) Success Port 3306 on 123.456.789.0 offen!
ms-wbt-server (3389) Not Available Port 3389 on 123.456.789.0 ist geschlossen!
(5900) Not Available Port 5900 on 123.456.789.0 ist geschlossen!
http-alt (8080) Not Available Port 8080 on 123.456.789.0 ist geschlossen!
Morgen ist Chef im Haus, da können wir was schauen. Meine Login-Oberfläche ist eher abgespeckter. Wo blockt man die denn im Plesk? Für die komplette IP, nicht für Domains einzeln oder?
Jo klingt nach einem "SuperGau" aus Sicht des eingefleischtem Admins :D
Obs wirklich so schlimm ist, ist aus der Ferne schwer zu sagen :D
Vermutlich hat dein Chef irgendwann mal einen vServer mit vorinstalliertem Plesk gekauft. Upgedatet wurde der seitdem wahrscheinlich nicht mehr und auch sonst juckt es vermutlich niemanden wie es um die Maschine steht ( funktioniert Backup etc. etc.). Zumindest meine Vermutung :D
MySQL kann natürlich auch im Internet hängen, aber wenn es nicht nötig ist, sollte man es nicht tun. Mache mir mehr Sorgen um die Versorgung der Serverkomponenten mit Updates
Obs wirklich so schlimm ist, ist aus der Ferne schwer zu sagen :D
Vermutlich hat dein Chef irgendwann mal einen vServer mit vorinstalliertem Plesk gekauft. Upgedatet wurde der seitdem wahrscheinlich nicht mehr und auch sonst juckt es vermutlich niemanden wie es um die Maschine steht ( funktioniert Backup etc. etc.). Zumindest meine Vermutung :D
MySQL kann natürlich auch im Internet hängen, aber wenn es nicht nötig ist, sollte man es nicht tun. Mache mir mehr Sorgen um die Versorgung der Serverkomponenten mit Updates
aus dem Thema bin ich leider raus. Ich mach nur Webseiten-Backup mit Akeeba und eben die Joomla-Updates. Die Webseiten haben wir dort Herbst 2023 eingerichtet.
Warum muss das auch immer alles so zu verkompliziert werden... ich vermisse das Webseiten-Erstellen und -hosten mit FrontPage98. Und den Netscape Navigator sowieso.
Warum muss das auch immer alles so zu verkompliziert werden... ich vermisse das Webseiten-Erstellen und -hosten mit FrontPage98. Und den Netscape Navigator sowieso.
Moin,
ich würd davon ausgehen das der komplette Server schon längst kompromitiert ist.
ich würd davon ausgehen das der komplette Server schon längst kompromitiert ist.
1
also soweit ich herausfinden konnte ist es ein root server mit debian 11 und plesk.
in plesk konnt ich aber nichts finden wo man ports sperrt, das müsste dann wohl eine Ebene höher sein, direkt unter linux mit nem Befehl...
in plesk konnt ich aber nichts finden wo man ports sperrt, das müsste dann wohl eine Ebene höher sein, direkt unter linux mit nem Befehl...
Moin,
wenn es ein root Server ist und Ihr so gar keine Ahnung habt, was ja offensichtlich ist, würde ich als erstes den Server als kompromittiert betrachten und komplett neu aufsetzen. Dabei geht es nicht nur darum, was für Daten man abziehen kann, sondern auch, was man von dort aus für Schindluder treiben kann (Mails in Eurem Namen senden und so).
Es gibt für eine normale Joomla-Umgebung keinen Grund, warum der SQL-Server nach außen zugänglich sein soll. Er wird ja bei so kleinen Installationen nur intern auf demselben Server genutzt.
Relevant ist die Firewall. Da musst Du halt mal nachschauen oder den Hoster fragen, wie das geregelt ist, wobei root-Server dafür spricht, dass es eine Softwarefirewall sein dürfte. Der Support vom Hoster sollte seine Systeme kennen und Dir weiterhelfen können (wohl kostenpflichtig, aber das ist ja auch angemessen).
Gruß
DivideByZero
wenn es ein root Server ist und Ihr so gar keine Ahnung habt, was ja offensichtlich ist, würde ich als erstes den Server als kompromittiert betrachten und komplett neu aufsetzen. Dabei geht es nicht nur darum, was für Daten man abziehen kann, sondern auch, was man von dort aus für Schindluder treiben kann (Mails in Eurem Namen senden und so).
Es gibt für eine normale Joomla-Umgebung keinen Grund, warum der SQL-Server nach außen zugänglich sein soll. Er wird ja bei so kleinen Installationen nur intern auf demselben Server genutzt.
Relevant ist die Firewall. Da musst Du halt mal nachschauen oder den Hoster fragen, wie das geregelt ist, wobei root-Server dafür spricht, dass es eine Softwarefirewall sein dürfte. Der Support vom Hoster sollte seine Systeme kennen und Dir weiterhelfen können (wohl kostenpflichtig, aber das ist ja auch angemessen).
Gruß
DivideByZero
