[debian-mysql] Bug#477480: mysql-server: parameter max_connect_errors has no effect

root tech at mediaforest.net
Wed Apr 23 12:57:26 UTC 2008 

Package: mysql-server
Version: 5.0.32-7etch5
Severity: normal

It seems that the parameter max_connect_errors has no effect :

My boxe has recently be attacked by brute force, and while max_connect_errors was at default of 10,
there were many thousands of failed login trying to guess my root password !
here's a short extract of mysql.log showing the failed login :

080416  6:25:23  255434 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:24  255435 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:25  255436 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:27  255437 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:28  255438 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:29  255439 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:30  255440 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:31  255441 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:33  255442 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:34  255443 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:35  255444 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:36  255445 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:38  255446 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:39  255447 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:40  255448 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:41  255449 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:43  255450 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:44  255451 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:45  255452 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:46  255453 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:47  255454 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:49  255455 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:50  255456 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:51  255457 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:52  255458 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:54  255459 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:55  255460 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:56  255461 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:58  255462 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:25:59  255463 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:00  255464 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:01  255465 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:02  255466 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:03  255467 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:04  255468 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:06  255469 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:07  255470 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:08  255471 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:09  255472 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:11  255473 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:12  255474 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:13  255475 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:15  255476 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:16  255477 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:17  255478 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:19  255479 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:20  255480 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:21  255481 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:22  255424 Quit
080416  6:26:23  255482 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:24  255483 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:25  255484 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:26  255485 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:28  255486 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:29  255487 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416  6:26:30  255488 Connect     Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)

the host should have been blocked after 10 attempts, instead of that, it spend a whole day trying a new password, nearly one by second

isn't there an option in MySQL to prevent this kind of bruteforce attack ?  				  				  

-- System Information:
Debian Release: 4.0
  APT prefers stable
  APT policy: (500, 'stable')
Architecture: i386 (i686)
Shell:  /bin/sh linked to /bin/bash
Kernel: Linux 2.6.18-6-686
Locale: LANG=fr_FR at euro, LC_CTYPE=fr_FR at euro (charmap=ISO-8859-15)

Versions of packages mysql-server depends on:
ii  mysql-server-5.0           5.0.32-7etch5 mysql database server binaries

mysql-server recommends no packages.

-- no debconf information

More information about the pkg-mysql-maint mailing list