欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

MySQL日志安全分析技巧

来源:本站整理 作者:佚名 时间:2019-06-21 TAG: 我要投稿

常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。
0x01 Mysql日志分析
general query log能记录成功连接和每次执行的查询,我们可以将它用作安全布防的一部分,为故障分析或黑客事件后的调查提供依据。
1、查看log配置信息
show variables like '%general%';
2、开启日志
SET GLOBAL general_log = 'On';
3、指定日志文件路径
SET GLOBAL general_log_file = '/var/lib/mysql/mysql.log';
比如,当我访问 /test.php?id=1,此时我们得到这样的日志:
190604 14:46:14       14 Connect    root@localhost on
                      14 Init DB    test  
                      14 Query    SELECT * FROM admin WHERE id = 1    
                      14 Quit
我们按列来解析一下:
第一列:Time,时间列,前面一个是日期,后面一个是小时和分钟,有一些不显示的原因是因为这些sql语句几乎是同时执行的,所以就不另外记录时间了。第二列:Id,就是show processlist出来的第一列的线程ID,对于长连接和一些比较耗时的sql语句,你可以精确找出究竟是那一条那一个线程在运行。第三列:Command,操作类型,比如Connect就是连接数据库,Query就是查询数据库(增删查改都显示为查询),可以特定过虑一些操作。第四列:Argument,详细信息,例如 Connect    root@localhost on 意思就是连接数据库,如此类推,接下面的连上数据库之后,做了什么查询的操作。
0x02 登录成功/失败
我们来做个简单的测试吧,使用我以前自己开发的弱口令工具来扫一下,字典设置比较小,2个用户,4个密码,共8组。

MySQL中的log记录是这样子:
Time                 Id        Command         Argument
190601 22:03:20     98 Connect  root@192.168.204.1 on
        98 Connect  Access denied for user 'root'@'192.168.204.1' (using password: YES)     
        103 Connect  mysql@192.168.204.1 on      
        103 Connect  Access denied for user 'mysql'@'192.168.204.1' (using password: YES)     
        104 Connect  mysql@192.168.204.1 on      
        104 Connect  Access denied for user 'mysql'@'192.168.204.1' (using password: YES)     
        100 Connect  root@192.168.204.1 on      
        101 Connect  root@192.168.204.1 on      
        101 Connect  Access denied for user 'root'@'192.168.204.1' (using password: YES)      
        99 Connect  root@192.168.204.1 on       
        99 Connect  Access denied for user 'root'@'192.168.204.1' (using password: YES)     
        105 Connect  mysql@192.168.204.1 on      
        105 Connect  Access denied for user 'mysql'@'192.168.204.1' (using password: YES)     
        100 Query  set autocommit=0     
        102 Connect  mysql@192.168.204.1 on      
        102 Connect  Access denied for user 'mysql'@'192.168.204.1' (using password: YES)     
        100 Quit
你知道在这个口令猜解过程中,哪个是成功的吗?
利用爆破工具,一个口令猜解成功的记录是这样子的:
190601 22:03:20     100 Connectroot@192.168.204.1 on
   100 Queryset autocommit=0  
   100 Quit
但是,如果你是用其他方式,可能会有一点点不一样的哦。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载