我已经在 /var/log/mysqld.log 中看到以下日志条目,并正在尝试查明请求的来源:
130313 10:10:48 [Warning] Access denied for user 'admin'@'localhost' (using password: YES)
这种情况从周一晚上 8 点开始,一直持续到昨晚 23:59:57,大约每分钟发生一次。
我以为事情就这样结束了,直到今天早上 10:00:03 它又开始运行,同样,每分钟一次。
我正在运行带有 Plesk 11 和 Atomicorp 的 ASL 安全系统的 CentOS 5.9 X64。
我已经检查过所有 Cron 任务,没有一个是在晚上 8 点或早上 10 点开始的,唯一每小时运行一次的任务是通过 PHP 运行的,并且不使用管理员作为登录名。
我也逐一禁用了服务以尝试解决问题,但关闭以下服务时没有任何区别:
httpd xinetd sshd psmon named crond couriercpd postfix
我还使用通用查询日志启用了 mySQL 的详细日志记录,但它没有显示任何有用的内容。
有人能建议一种追踪这些登录尝试来源的方法吗?或者甚至可以显示系统尝试连接的密码?
这样,我就能知道它是朋友还是敌人。
谢谢
答案1
显然,由于连接源是通过套接字建立的,因此 mySQL 或任何 Linux 内核都无法识别源。
我现在在 Atomicorp 工作(www.atomicorp.com) 因为他们正在开发一个内核补丁,这样将来就可以跟踪这种情况。