歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

MySQL日志安全分析技巧

來源:本站整理 作者:佚名 時間:2019-06-21 TAG: 我要投稿

常見的數據庫攻擊包括弱口令、SQL注入、提升權限、竊取備份等。對數據庫日志進行分析,可以發現攻擊行為,進一步還原攻擊場景及追溯攻擊源。
0x01 Mysql日志分析
general query log能記錄成功連接和每次執行的查詢,我們可以將它用作安全布防的一部分,為故障分析或黑客事件后的調查提供依據。
1、查看log配置信息
show variables like '%general%';
2、開啟日志
SET GLOBAL general_log = 'On';
3、指定日志文件路徑
SET GLOBAL general_log_file = '/var/lib/mysql/mysql.log';
比如,當我訪問 /test.php?id=1,此時我們得到這樣的日志:
190604 14:46:14       14 Connect    [email protected] on
                      14 Init DB    test  
                      14 Query    SELECT * FROM admin WHERE id = 1    
                      14 Quit
我們按列來解析一下:
第一列:Time,時間列,前面一個是日期,后面一個是小時和分鐘,有一些不顯示的原因是因為這些sql語句幾乎是同時執行的,所以就不另外記錄時間了。第二列:Id,就是show processlist出來的第一列的線程ID,對于長連接和一些比較耗時的sql語句,你可以精確找出究竟是那一條那一個線程在運行。第三列:Command,操作類型,比如Connect就是連接數據庫,Query就是查詢數據庫(增刪查改都顯示為查詢),可以特定過慮一些操作。第四列:Argument,詳細信息,例如 Connect    [email protected] on 意思就是連接數據庫,如此類推,接下面的連上數據庫之后,做了什么查詢的操作。
0x02 登錄成功/失敗
我們來做個簡單的測試吧,使用我以前自己開發的弱口令工具來掃一下,字典設置比較小,2個用戶,4個密碼,共8組。

MySQL中的log記錄是這樣子:
Time                 Id        Command         Argument
190601 22:03:20     98 Connect  [email protected] on
        98 Connect  Access denied for user 'root'@'192.168.204.1' (using password: YES)     
        103 Connect  [email protected] on      
        103 Connect  Access denied for user 'mysql'@'192.168.204.1' (using password: YES)     
        104 Connect  [email protected] on      
        104 Connect  Access denied for user 'mysql'@'192.168.204.1' (using password: YES)     
        100 Connect  [email protected] on      
        101 Connect  [email protected] on      
        101 Connect  Access denied for user 'root'@'192.168.204.1' (using password: YES)      
        99 Connect  [email protected] on       
        99 Connect  Access denied for user 'root'@'192.168.204.1' (using password: YES)     
        105 Connect  [email protected] on      
        105 Connect  Access denied for user 'mysql'@'192.168.204.1' (using password: YES)     
        100 Query  set autocommit=0     
        102 Connect  [email protected] on      
        102 Connect  Access denied for user 'mysql'@'192.168.204.1' (using password: YES)     
        100 Quit
你知道在這個口令猜解過程中,哪個是成功的嗎?
利用爆破工具,一個口令猜解成功的記錄是這樣子的:
190601 22:03:20     100 [email protected] on
   100 Queryset autocommit=0  
   100 Quit
但是,如果你是用其他方式,可能會有一點點不一樣的哦。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺