起因:数据库之前经常报错,改了max_allowed_packet之后过一段时间又恢复成1024(就是这个原因报错),然后在网上查了一下可能是被别人攻击了,按网上的方法打开了查询日志set GLOBAL general_log = on。
然后在 general_log 日志中看到如下信息:
图一(攻击者IP一):
图二(攻击者IP二):
图三(攻击者IP三,就是这个IP在下面改了max_allowed_packet=1024,因为太长截图没截出来):
图四(MySQL的用户列表):
现在有如下几点疑问:
1、图一和图二和图三的SQL语句,大概是实现了什么功能?
2、root账户设置的是localhost(如图四),按理来说不能由远程IP连接,可是为什么图一和图二是用root账户连接的?
3、是否数据库密码泄露了?这种情况该如何预防?
还有一点疑问就是,网站并没有用到root账户及密码,那么这个攻击者是怎么用root账户登录的呢?
以上,请教各位大牛,不胜感激!!!