背景介绍
*昨夜夜黑凤高~*接了个个人项目,朋友发消息说服务连不上,查看日志报错xxx表不存在,what?查看表存在,定位权限不可见问题,重启解决,后来一晚上过去又报错,然后再去查看库下所有表都被干掉了,GG,
黑客攻击场景 针对db 3306端口,及弱密码进行肉鸡暴力攻击,表象为:数据库被清空后插入一个WARNING表,包括邮件、比特币、留言字段,有些人可能会在某些目录发现一个readMe之类的,而本次攻击留下了一个叫“PLEASE_READ_ME”的库,这原因是因为另外一哥们不会处理账户远程连接问题,直接开启了跳过授权。。猝
进行修改密码及删库
类似的攻击者文章:
linux入门-mysql安全防范
谁会是下一个受害者?历数数据库黑客新闻
下一个猎杀目标:近期大量MySQL数据库遭勒索攻击
如何规避
- 强密码 ,不要偷懒,等被删库你就知道了~;
- 不允许远程连接,不过大部分都为了方便,可以加入ssh认证进行连接 ;
- 避免使用 3306 端口;
- 避免密码相同的撞库原则;
处理过程
使用binlog2sql
具体工具使用点这里
总结来讲使用命令如下:
python binlog2sql.py -h127.0.0.1 -P3306 -uroot -p'Meishemima123' -dRechargeCode --start-file='mysql-bin.000015' --end-file='mysql-bin.000018' --stop-datetime='2019-12-19 23:43:41' > rollback.sql
其他的应该一看就知道,就不细说了,复制修改即可用,相信你现在在看也是想立马能用;
- -d 为数据库名称
辅助命令
远程无法连接情况,直接进入mysql命令行执行:
source rollback.sql
后续处理
我就不复制了,格式不好看,参考这个:
mysql安全规范