我有一台装有 MySQL 数据库的服务器,WordPress 可以访问它。每隔 1-2 秒,我就会在 MySQL error.log 中看到以下内容
[Note] Access denied for user 'root'@'localhost'
据我所知,没有涉及密码尝试,但我的根用户已设置密码。
我猜这是某种暴力攻击。问题是我无法确定哪个服务或脚本正在尝试这样做?我的 WordPress 安装未使用 root 作为用户,并且从我在一个可能受其影响的插件中看到的情况来看,所有 SQL 查询都在准备好的语句中。
我尝试使用 tcpdump 嗅探发送到 3306 本地端口的数据包,但没有任何结果。我如何才能找到哪个服务或脚本正在尝试访问它?非常感谢。
答案1
“localhost” 表示“套接字”连接,不涉及 TCP/IP,因此tcpdump毫无用处。假定的黑客已经登录到您的服务器。
情况 1,您机器上的某个程序:( ps“任务管理器”)列出了所有程序。“lsof”是另一个工具。(这两个都不太实用,因为它们都给出了巨大的列表。)
案例 2,外部黑客:查找登录名。查找正在运行的 shell 脚本ps。同时,添加/加强对机器的所有登录名。
答案2
问题不在于 WordPress 实例,而在于另一个文件夹。其中有一个论坛的有效脚本,在旧平台上使用 root 用户,原因不明。
更改用户后一切正常。感谢您的帮助 :)