背景介紹
*昨夜夜黑鳳高~*接了個個人項目,朋友發消息說服務連不上,查看日誌報錯xxx表不存在,what?查看錶存在,定位權限不可見問題,重啓解決,後來一晚上過去又報錯,然後再去查看庫下所有表都被幹掉了,GG,
黑客攻擊場景 針對db 3306端口,及弱密碼進行肉雞暴力攻擊,表象爲:數據庫被清空後插入一個WARNING表,包括郵件、比特幣、留言字段,有些人可能會在某些目錄發現一個readMe之類的,而本次攻擊留下了一個叫“PLEASE_READ_ME”的庫,這原因是因爲另外一哥們不會處理賬戶遠程連接問題,直接開啓了跳過授權。。猝
進行修改密碼及刪庫
類似的攻擊者文章:
linux入門-mysql安全防範
誰會是下一個受害者?歷數數據庫黑客新聞
下一個獵殺目標:近期大量MySQL數據庫遭勒索攻擊
如何規避
- 強密碼 ,不要偷懶,等被刪庫你就知道了~;
- 不允許遠程連接,不過大部分都爲了方便,可以加入ssh認證進行連接 ;
- 避免使用 3306 端口;
- 避免密碼相同的撞庫原則;
處理過程
使用binlog2sql
具體工具使用點這裏
總結來講使用命令如下:
python binlog2sql.py -h127.0.0.1 -P3306 -uroot -p'Meishemima123' -dRechargeCode --start-file='mysql-bin.000015' --end-file='mysql-bin.000018' --stop-datetime='2019-12-19 23:43:41' > rollback.sql
其他的應該一看就知道,就不細說了,複製修改即可用,相信你現在在看也是想立馬能用;
- -d 爲數據庫名稱
輔助命令
遠程無法連接情況,直接進入mysql命令行執行:
source rollback.sql
後續處理
我就不復制了,格式不好看,參考這個:
mysql安全規範