某天某時,我突然發現之前的系統登入不上去了,去檢視資料庫,發現我自己建的資料庫,裡面的表全被刪掉了,所有的資料庫,裡面只有乙個表warning,裡面有個字段bitcoin_address,測試與位元幣有關的攻擊。更讓人無法接受的是,後面查了一下,發現公司所有linux伺服器下的mysql全是這樣了。好可怕。
一,檢視
cat ~/.bash_history (執行過的命令)
cat ~/.mysql_history(資料庫操作記錄)
cat /var/log/mysqld.log (裡面有一些資料庫訪問記錄,有一點價值),發現裡面很多外國ip訪問過的記錄。
last 系統登入歷史
資料庫mysql下的幾個表,user表,performance_schema庫,performance_ ***庫,之前performance_開頭的兩個庫沒怎麼注意過,但這個其實很重要。
開啟/etc/my.cnf,讓資料庫只繫結本機,bind 127.0.0.1.
passwd root,修改系統密碼
有一點沒做,就是mysql root繫結我自己的本機計算機訪問,一是想著我本機為區域網ip不知可否,另外也怕系統不安全,再者怕mysql資料庫出問題。
二,冷靜下來後,該按部就班的查詢問題了
1,iptraf暫時沒找到更好的替代工具。如果沒安裝yum install iptraf -y 安裝就好了。可惜我今天犯了乙個小錯誤,一直敲iftraf,折騰了半小時,最後才突然發現命令敲錯了。
iptraf ,選擇網絡卡,可以看到實時訪問的ip,包括tcp和udp。看到一條資訊,180.165.254.111:51959.還有很多外國udp訪問記錄。我們udp是沒做防火牆過濾的。於是第二個命令,查51959.這個埠。
netstat -na(t),查到51959這個對應的22,那麼應該是我自己的連線。沒問題了。接下來就是udp,全是國外的ip訪問,肯定不對。那麼就是先設定本地防火牆。udp全是這樣的東西,94.130.49.186:ntp to 10.20.65.206:ntp 。我還不太青年廣場ntp是什麼東西。
vim /etc/sysconfig/iptables, 開啟防火牆配置,編輯裡面的規則。
iptables -i(-d) input -s 211.1.0.0 -j drop 封(解)單個ip
iptables -i(-d) input -s 211.0.0.0/8 -j drop封(解)整段ip
iptables -list 規則列表
iptables -l 是否生效
這裡只做介紹,我沒用到。
這樣一圈下來,除了udp發現有ntp很多外國訪問記錄外,而,ntp是時間相關的協議,應該沒有問題。沒發現其他可疑訪問。還發現乙個223.104.210.6:29238,只查到這個是上海移動ip,查不到這個埠對應我伺服器的什麼埠。
這樣一圈下來,除了mysqld.log裡面一些零碎的異常訪問記錄,沒有找到資料庫是被怎麼攻擊的,也沒有想明白整個區域網資料庫是怎麼被弄掉的。揪心。這是不是說明mysql確實存在著一些安全方面的問題呢?
linux下安裝mysql資料庫
tar zxvf mysql 5.6.33 linux glibc2.5 x86 64.tar.gz mv mysql 5.6.33 linux glibc2.5 x86 64 mysql 解壓完我的路徑是 opt mysql 1.查詢是否有mysql使用者組和mysql使用者 groups mys...
linux下mysql資料庫相關
1.檢視mysql資料庫埠號 netstat ngl grep mysql 2 mysql資料庫表名設定忽略大小寫 修改 etc my.cnf,在 mysqld 後新增lower case table names 1 1是不區分大小寫,0是區分 然後重啟mysql mysql資料庫亂碼 同樣修改 e...
Linux下Mysql資料庫備份
1 備份 可直接進入後台即可.mysql的預設目錄 var lib mysql 輸入命令 root obj mysql mysqldump u 資料庫使用者名稱 p test home bak 2015 09 10 test.sql enter password 密碼 此時,已成功將資料庫test備...