parrot wrote:
假設 DB 在 Intranet,Web 在 DMZ,如果可以 shell 到 Web,那 Firewall 會認為從 Web 到 DB 是合法行為直接放行,然後大家看前面有個 fetc.conf,裡面搞不好就有 DB 的 IP 帳號密碼,萬一權限又是用 SA or DBA 進入,會取不到資料??...(恕刪)
觀念不好, 出包的機會就會很多
(1) Debug Log file 很可能就有一堆 database 的暫存資料
(2) 整個流程中 deamon 權限沒設對時, 就有機會被植入 worm, 然後以這個 web 當作跳板
撈到 intranet 的所有東西
(3) 如果 amdin 再懶一點, 還能 rlogin 的話, 所有 intranet server 都要全部重灌
否則埋進去的木馬清都清不完
(4) 現在該擔心的應該是系統(內部網路) 有沒有已經被置換掉某些 deamon
(5) 光是檢查 syslog 不一定準, 很可能也被修飾過了
(6) 系統備份也得考慮重建, 不知道多久以前的備份已經不安全
我看媒體如果沒有繼續爆下去,又草草了事了!
