是否有像 mysql 日志这样的东西来确定是否有任何内容被访问/更新/删除。我的帐户被盗用了,似乎只有垃圾邮件脚本被上传了。
我更改了所有密码并安装了暴力破解检测。(我不知道他们一开始是如何暴力破解我的密码的)
答案1
是的,如果这样配置的话。
手册 >> 5.2。MySQL 服务器日志
如果已配置二进制日志,您几乎可以看到任何更改数据的活动,还可以重播到某个点。如果发生 SQL 注入类型的攻击,这可能会很有用。
但考虑到这个问题,我认为您不熟悉 MySQL 管理,因此我建议您尝试找人来帮助您。
答案2
什么被泄露了?是具有扩展权限的 shell 帐户还是 mysql?您是否觉得需要保留证据以供调查,还是只是想尽快恢复在线状态?如果是 mysql,我首先要采取的措施是通过在 my.cnf 中设置以下内容来阻止外部访问。一旦您有了这个,您就可以开始评估情况了。
绑定地址 = 127.0.0.1
如果您担心 mysql 更改,那么一个非常简单的方法就是从现在开始对数据库进行 mysqldump,并将其与受感染之前的异地备份进行比较。这将非常冗长,但应该会向您突出显示更改。
据我所知,mysql 仅在调试模式下才会记录更改,但这很慢而且冗长,所以不推荐。
如果您怀疑您的 shell 帐户已被泄露,那么我建议您仔细检查 /etc/passwd /etc/group 等,然后开始构建更安全的环境并将您的应用程序转移到该环境(关于这一点需要写一篇更长的文章,我现在无法做到,但我相信其他人一定能够提供帮助)。