خوب ، آیا امکان ورود به ترمینال MySQL (ردیابی و ارسال پرس و جو) بدون نام کاربری ، رمز عبور و IP وجود دارد؟

من سرور بازی دارم و بعضی از بچه ها فقط برخی جزئیات را در مورد کاربران ما در pastebin (مانند گذرواژه – حذف نشده) به اشتراک گذاشتند! ) آنها در حال ارسال برخی از سؤالات مانند تعیین پول خود در بانک اطلاعاتی (پول درون بازی) هستند. ما از هش sha256 MySQL برای رمزهای عبور استفاده می کنیم ، سیاهههای مربوط فعال می شوند ، ما سوابق جستجوی ویژه mysql را در HDD سرور داریم با تمام نمایش داده شدگان از بازی.

ما فکر می کردیم که ممکن است برای تزریق SQL مشکلی ایجاد کند ، اما چیزی وجود ندارد در mysql سیاهههای مربوط به بازی. نمایش داده شدگان آنها فقط در لاگ عمومی ثبت می شوند و log log می گوید که پرس و جو دقیقاً از طرف کاربر سرور و IP ما ارسال می شود. نکته دوم این است که ، رمزهای عبور کاربر واقعی (حذف نشده) فقط در آن نمایش داده می شوند که کاربران سعی کنند وارد سیستم شوند. در پایگاه داده فقط رمزهای عبور وجود دارد.

بنابراین ، به نظر می رسد که آنها می توانند کلیه نمایش داده شدگان را ردیابی کنند و می توانند با نام سرور بازی نمایش داده شد (مانند اینکه بطور منظم از بازی ارسال می شد).

ما از phpmyadmin محافظت کرده ایم ( محافظت از VPN) ، سرور بازی اختصاصی است ، mysql در VPS اما در همان سرور اختصاصی است. بنابراین آنها نمی توانند از phpmyadmin به بانک اطلاعاتی متصل شوند.

بعد از اولین اشتراک گذاری داده ها در pastebin ، ما کارهای زیادی انجام دادیم. ابتدا ، ما VPS جدید دریافت می کنیم ، از آن محافظت می کنیم ، نام کاربری و رمزعبور پایگاه داده را تغییر می دهیم ، همه چیز را به صورت اسکریپت بررسی می کنیم. شاید 1 ساعت بعد ، آنها فقط برخی از سؤالات جدید را ارسال کنند ، مانند اینکه ما کاری نکرده ایم.

من این را خوانده ام: https://stackoverflow.com/questions/11854231/mysql-database-hacked-not-injections and that واقعاً مشکل مشابه است ، اما جوابی برای ما وجود ندارد.