Le plus impressionnant c'est qu'ils aient pu écrire dans des fichiers.
Les fonctions mysql utilisées (via injection SQL) sont "INTO OUTFILE / DUMPFILE".
Seulement les droits pour cette fonction sont définis à [false] par défaut pour un utilisateur de mysql.
Sauf pour l'utilisateur root.
Le(s) pirate(s) (soyons honnêtes, pas besoin d'être cinquante...) avai(en)t les droits en lecture / écriture de l'utilisateur "mysql" du serveur.
(Dont la possibilité d'écrire des fichiers ".php" qui seraient interprétés par apache si dans l' [include_path])
Pour que mysql ait droit d'écriture de fichier dans un dossier qui ne lui appartient pas, il faut que tout le monde ait les droits d'écriture dans ce dossier (chmod 777)
Manquait plus que l'upload et l'exécution d'un rootkit, et on avait un joli serveur zombie à la FSF.
Bref, du gros berk.
Partager