MySQL 4.1 Unbefugte Zugriffe

[CyberLine]

Hoi, hab mal wieder selber ein mittelschweres Problem.

Seid gestern Abend gibts unbefugte Zugriffe auf meine Datenbank.
Hier ein Auszug aus der Prozessliste:

19079  	root  	localhost  	NULL  	Query  	0  	NULL  	SHOW PROCESSLIST
19080 	unauthenticated user 	connecting host 	NULL 	Connect 	NULL 	login 	NULL

Gibts irgendeinen technische Möglichkeit rauszufinden welches Script da Falsch Konfiguriert ist ? Externer Datenbankzugriff ist Deaktiviert.

Danke für Tips

 

[Huschi]

Gibts irgendeinen technische Möglichkeit rauszufinden welches Script da Falsch Konfiguriert ist ?

Wenn er sich über TCP verbunden hat, könnte netstat die Verbindung anzeigen. Über socks würde es allerdings nicht klappen. Falls es allerdings ein PHP-Script mit PHP als Modul ist, wirst Du lediglich Apache bzw. PHP angezeigt bekommen und nicht das Script.

Aber es ist eh egal. Denn dort steht, daß diese Connection noch im Login-Dialog ist bzw. eingefroren wurde. Evtl. hat irgendwo mal ein Login nicht funktioniert und er wurde vergessen. Das ist alles.

Versuch den Prozess zu schließen oder im Zweifelsfall "mysql restart" und gut ist.

huschi.

 

[CyberLine]

Ok, ich merk schon ich hab wieder wichtige Details unterschlagen

Also diese Verbindungen tauchen für den bruchteil einer Sekunde in der Prozessliste auf und verschwinden dann wieder. Es sind mal 2, aber auch mal bis zu 16 solcher Einträge gleichzeitig ...

NACHTRAG:

Könnte auch ein Wurm sein oder ?

Kann mir jemand ne kurzeinleitung in Virenscanner für Linux geben ?
Muß zu meiner schande gestehen das ich mich mit diesem Thema bisher nicht befassen wollte

 

[Spin-Doc]

Viren suchen:

clamav installieren
- je nach distri

-clamav viren updates holen
freshclam -v

-den rechnen scannan
clamscan -vr -l scanlog.txt /pfad

-scanlog.txt prüfen
sollte so aussehen wenn nix gefunden wurde und alles ok is

--------------------------------------
Scan started: Fri Feb 10 15:17:46 2006


-- summary --
Known viruses: 44059
Engine version: 0.88
Scanned directories: 6
Scanned files: 22
Infected files: 0
Data scanned: 0.02 MB
Time: 1.392 sec (0 m 1 s)

 

[Huschi]

Also diese Verbindungen tauchen für den bruchteil einer Sekunde in der Prozessliste auf und verschwinden dann wieder.

Dann ist vieleicht ein Script mit falschen Login-Daten gefüttert worden.
Schau doch mal in den error_logs, ob dort entsprechende Fehlermeldungen stehen.

huschi.

 

[CyberLine]

Soo, virenscan läuft, kann sich nur um Stunden handeln

Bzgl. error_log: leider negativ :/