mysql 被黑怎么排查入侵路径 结果: typecho

88232128

好好反思一下为什么要开放数据库端口。

AceSheep

88232128 发表于 2024-3-23 13:30
好好反思一下为什么要开放数据库端口。

没有开放数据库端口, 只能127.0.0.1 访问

88232128

这种明显是蠕虫自动化黑进来的，除了你自己设置弱口令或者空密码没有其他解释。建议你再看看redis。

88232128

AceSheep 发表于 2024-3-23 13:31
没有开放数据库端口, 只能127.0.0.1 访问

开放数据库端口和只能127.1访问是两码事。如果你MySQL本身有漏洞的话那权限限制有什么作用呢。

AceSheep

88232128 发表于 2024-3-23 13:32
这种明显是蠕虫自动化黑进来的，除了你自己设置弱口令或者空密码没有其他解释。 ...

自动化入侵肯定得留下日志的. 现在找网站日志没看到入侵记录. 也能确定没有得到shell权限
日志是 root可读写, 其余用户只读. 对外服务都是非root 用户 一个服务一个用户

还是找不到是从哪里入侵进来的, 该从哪里防范

88232128

AceSheep 发表于 2024-3-23 13:39
自动化入侵肯定得留下日志的. 现在找网站日志没看到入侵记录. 也能确定没有得到shell权限
日志是 root可 ...

慢慢排查就好了，这种自动化进来的，都可以自己慢慢看，日志肯定都还在。

ffegya

AceSheep 发表于 2024-3-23 13:30
自己的博客和一些其他php程序

pm一下看看，学习一下

AceSheepffegya

ffegya 发表于 2024-3-23 13:45
pm一下看看，学习一下

博客没恢复
本来想改静态博客 这波勒索正好让我重搭一次了

AceSheep 发表于 2024-3-23 13:50
博客没恢复
本来想改静态博客 这波勒索正好让我重搭一次了

你用的哪里的服务器，便宜吗，博客什么程序

mark123

写个脚本每分钟备份数据库就行
root@s32403 ~/backupwordpress # ls
backwordpress2024-03-09-22-33-51.sql  backwordpress2024-03-17-23-20-01.sql
backwordpress2024-03-09-22-34-00.sql  backwordpress2024-03-18-23-20-01.sql
backwordpress2024-03-09-23-06-55.sql  backwordpress2024-03-19-23-20-01.sql
backwordpress2024-03-09-23-20-01.sql  backwordpress2024-03-20-23-20-01.sql
backwordpress2024-03-10-23-20-01.sql  backwordpress2024-03-21-23-20-01.sql
backwordpress2024-03-11-23-20-01.sql  backwordpress2024-03-22-23-20-01.sql
backwordpress2024-03-12-23-20-01.sql  backwordpress24-03-09-1709993476.sql
backwordpress2024-03-13-23-20-01.sql  backwordpress24-03-09-1709993653.sql
backwordpress2024-03-14-23-20-01.sql  backwordpress24-03-09-1709993659.sql
backwordpress2024-03-15-23-20-01.sql  backwordpress24-03-09-1709993669.sql
backwordpress2024-03-16-23-20-01.sql  mysql.sh
root@s32403 ~/backupwordpress # cat mysql.sh
#!/bin/bash
mysqldump -uroot -p12345678   --all-databases >  ~/backupwordpress/backwordpress$(date +%F-%H-%M-%S).sql

bigjj

网站程序存在漏洞呗，通过注入或者其他手段获取root账号密码本机登录，