直接把你服务器攻陷了,登录你的服务器然后登录mysql

解决方案 »

  1.   

    明显从144的外网连接进来的  肯定设置了外网连接权限了最好直接把数据库机器的外网关闭  或者select user,host from mysql.user 看看是不是配置了%
      

  2.   


    一直都没有配置"%"
    发现后也在MY.INI 也增加了bind_address = 127.0.0.1
    奇怪,他好像还有权限。
      

  3.   


    服务器登录有白名单机制,有看到阻止登录的日志,请问我该从哪里入手,看他是否对我的服务器做了什么手脚。IIS好像有被删除的记录
      

  4.   


    服务器登录有白名单机制,有看到阻止登录的日志,请问我该从哪里入手,看他是否对我的服务器做了什么手脚。IIS好像有被删除的记录
    我是看你没设置远程登录的mysql用户,才觉得是服务器被人登录了,并且在本地登录的mysql。
    如果真的是被人登录了,先修改一下登录密码吧。看看服务器登录日志有啥信息不
      

  5.   


    服务器登录有白名单机制,有看到阻止登录的日志,请问我该从哪里入手,看他是否对我的服务器做了什么手脚。IIS好像有被删除的记录
    我是看你没设置远程登录的mysql用户,才觉得是服务器被人登录了,并且在本地登录的mysql。
    如果真的是被人登录了,先修改一下登录密码吧。看看服务器登录日志有啥信息不所以我想问,除了登录服务器,还有什么其他方法可以连接mysql。
      

  6.   

    残留没断开的连接吧?你试试把 mysql 重启一次,或者通过 kill 把从 information_schema.processlist 中查出的所有的不需要的连接都 kill 掉
      

  7.   

    MYSQL 只允许本地连接,关键外网怎么连接的?
      

  8.   

    MYSQL 只允许本地连接,关键外网怎么连接的?
    看来你没明白残留的意思,比如本机攻破,那么我可以用本机连接建一个允许远程连接的帐号,然后远程连上,再把这个帐号给删除掉,那么 mysql.user 中自然看不到这个帐号,蛤连接没断开的话,我照样可以用,processlist中也会显示这个连接
      

  9.   

    MYSQL 只允许本地连接,关键外网怎么连接的?
    看来你没明白残留的意思,比如本机攻破,那么我可以用本机连接建一个允许远程连接的帐号,然后远程连上,再把这个帐号给删除掉,那么 mysql.user 中自然看不到这个帐号,蛤连接没断开的话,我照样可以用,processlist中也会显示这个连接
    这个还真不知道,感谢解答!又找到一个后门:MYSQL函数被写入恶意函数了,什么狗都没用了,直接Call 自定义函数...
    这个asshole还真是有想法....