账户被盗了,有 mysql 日志吗?

账户被盗了,有 mysql 日志吗?

是否有像 mysql 日志这样的东西来确定是否有任何内容被访问/更新/删除。我的帐户被盗用了,似乎只有垃圾邮件脚本被上传了。

我更改了所有密码并安装了暴力破解检测。(我不知道他们一开始是如何暴力破解我的密码的)

答案1

是的,如果这样配置的话。

手册 >> 5.2。MySQL 服务器日志

如果已配置二进制日志,您几乎可以看到任何更改数据的活动,还可以重播到某个点。如果发生 SQL 注入类型的攻击,这可能会很有用。

但考虑到这个问题,我认为您不熟悉 MySQL 管理,因此我建议您尝试找人来帮助您。

答案2

什么被泄露了?是具有扩展权限的 shell 帐户还是 mysql?您是否觉得需要保留证据以供调查,还是只是想尽快恢复在线状态?如果是 mysql,我首先要采取的措施是通过在 my.cnf 中设置以下内容来阻止外部访问。一旦您有了这个,您就可以开始评估情况了。

绑定地址 = 127.0.0.1

如果您担心 mysql 更改,那么一个非常简单的方法就是从现在开始对数据库进行 mysqldump,并将其与受感染之前的异地备份进行比较。这将非常冗长,但应该会向您突出显示更改。

据我所知,mysql 仅在调试模式下才会记录更改,但这很慢而且冗长,所以不推荐。

如果您怀疑您的 shell 帐户已被泄露,那么我建议您仔细检查 /etc/passwd /etc/group 等,然后开始构建更安全的环境并将您的应用程序转移到该环境(关于这一点需要写一篇更长的文章,我现在无法做到,但我相信其他人一定能够提供帮助)。

相关内容