56,685
社区成员
发帖
与我相关
我的任务
分享MYSQL 没有开启远程连接,为什么别人可以连接上!
之前服务器,被恶意入侵,并上传大马,清理后,黑客还可以继续操作mysql!
打开MYSQL监控的时候,居然看到如下图片,mysql 账户没有设置远程账户,USER里的A是黑客创建的账户吗,MYSQL没有看到其他账户,对方是如何连接的,我方还需要做作什么审查?
肯定各位大神指点,谢谢!
打开MYSQL监控的时候,居然看到如下图片,mysql 账户没有设置远程账户,USER里的A是黑客创建的账户吗,MYSQL没有看到其他账户,对方是如何连接的,我方还需要做作什么审查?
肯定各位大神指点,谢谢!
...全文
请发表友善的回复…
发表回复
xxooget 2017-02-16
- 打赏
- 举报
服务器登录有白名单机制,有看到阻止登录的日志,请问我该从哪里入手,看他是否对我的服务器做了什么手脚。IIS好像有被删除的记录[/quote]
我是看你没设置远程登录的mysql用户,才觉得是服务器被人登录了,并且在本地登录的mysql。
如果真的是被人登录了,先修改一下登录密码吧。看看服务器登录日志有啥信息不[/quote]
所以我想问,除了登录服务器,还有什么其他方法可以连接mysql。
二月十六 2017-02-16
- 打赏
- 举报
服务器登录有白名单机制,有看到阻止登录的日志,请问我该从哪里入手,看他是否对我的服务器做了什么手脚。IIS好像有被删除的记录[/quote]
我是看你没设置远程登录的mysql用户,才觉得是服务器被人登录了,并且在本地登录的mysql。
如果真的是被人登录了,先修改一下登录密码吧。看看服务器登录日志有啥信息不
xxooget 2017-02-16
- 打赏
- 举报
服务器登录有白名单机制,有看到阻止登录的日志,请问我该从哪里入手,看他是否对我的服务器做了什么手脚。IIS好像有被删除的记录
xxooget 2017-02-16
- 打赏
- 举报
一直都没有配置"%"
发现后也在MY.INI 也增加了bind_address = 127.0.0.1
奇怪,他好像还有权限。
rucypli 2017-02-16
- 打赏
- 举报
明显从144的外网连接进来的 肯定设置了外网连接权限了
最好直接把数据库机器的外网关闭
或者select user,host from mysql.user 看看是不是配置了%
二月十六 2017-02-16
- 打赏
- 举报
直接把你服务器攻陷了,登录你的服务器然后登录mysql
xxooget 2017-02-16
- 打赏
- 举报
MYSQL 只允许本地连接,关键外网怎么连接的?[/quote]
看来你没明白残留的意思,比如本机攻破,那么我可以用本机连接建一个允许远程连接的帐号,然后远程连上,再把这个帐号给删除掉,那么 mysql.user 中自然看不到这个帐号,蛤连接没断开的话,我照样可以用,processlist中也会显示这个连接[/quote]
这个还真不知道,感谢解答!又找到一个后门:MYSQL函数被写入恶意函数了,什么狗都没用了,直接Call 自定义函数...
这个asshole还真是有想法....
zjcxc 2017-02-16
- 打赏
- 举报
MYSQL 只允许本地连接,关键外网怎么连接的?[/quote]
看来你没明白残留的意思,比如本机攻破,那么我可以用本机连接建一个允许远程连接的帐号,然后远程连上,再把这个帐号给删除掉,那么 mysql.user 中自然看不到这个帐号,蛤连接没断开的话,我照样可以用,processlist中也会显示这个连接
xxooget 2017-02-16
- 打赏
- 举报
MYSQL 只允许本地连接,关键外网怎么连接的?
zjcxc 2017-02-16
- 打赏
- 举报
残留没断开的连接吧?你试试把 mysql 重启一次,或者通过 kill 把从 information_schema.processlist 中查出的所有的不需要的连接都 kill 掉
