mysql - user root überschreibbar??

[vistree]

Hallo,
ich hatte heute ein riesen Problem. Ich bin nicht mehr in mysql reingekommen. Das Passwort stimmte nicht mehr.
Daraufhin habe ich sämtlich log-files durchgesehen und geprüft, ob es einen Einbruch gegeben hat. Nichts zu finden.
Vor kurzem ruft mich dann ein Kunde an und sagt - ich komme mit meiner Seite nicht mehr auf die Datenbank. Beim Aufruf gibt es einen Datenbankfehler.

Und was stelle ich fest? Der Kunde hat als mysql-Benutzer in seinem Kundenzugang 'root' mit einem neuen Passwort eingegeben.

Kann es sein, dass wenn man in ispconfig die Rechte des mysql-Benutzers root überschreiben kann?

 

[Quest]

Erst mal, welches ISPConfig? 2 oder 3?
Wenn das so wäre, wäre es ja eine riesen Sicherheitslücke.
Till, ist das möglich? Ich hab nur nen live Server, da möchte ich das nicht unbedingt testen
Eine Anleitung zum Zurücksetzen des MySQL Root Passworts findest du hier:
http://www.faqforge.com/linux/controlpanels/ispconfig2/how-to-reset-the-mysql-root-password/

 

[Till]

Alle mysql user haben einen Prefix, der das verhindert. Wenn der Kunde also z.B. root als neuen mysql user eingibt, wird das in c1root umgewandelt. Oder hast Du diese Sicherheitsvorkehrung bei Dir etaw deaktiviert?

 

[vistree]

Hallo Till,
zugegebener maßen - ja, wir haben die Prefixe entfernt. Wir sind von ispconfig2 umgestiegen und wollten die DB-Namen beibehalten. Wir haben das vorher auch getestet - auf die Idee, dass root als mysql-Nutzer überschrieben werden könnte, sind wir nicht gekommen. Vielleicht sollte man da bei der Installation bzw. im Controlpanel einen Hinweis aufnehmen? Also in der Art "das Leerlassen der Prefixfelder kann in großen Problemen münden ..."
Ich bin nicht davon ausgegangen, dass bei der Conf über das Controlpanel (wir haben keinen Hack gemacht) diese Möglichkeit nicht abgefangen wird. Nicht nachgedacht ....

Unser System ist übrigens ISPconfig 3

Gruß

Kai