一、 MySQL隐藏表的秘密
MySQL里的隐藏表不是真的藏着,其实是攻击者为了不让别人发现,特意弄的。就像是他们偷偷放了一些东西在数据库里这样别人就找不到啦。
| 攻击者放的东西 | 为什么叫隐藏表 |
|---|---|
| 临时表 | 为了临时存放信息, 不容易被发现 |
| 系统表 | 成系统表,让人误以为是系统的一部分 |
二、查找隐藏表的线索
要找到这些隐藏表,就像是找宝藏一样。我们可yikankan数据库里的文件,kankan哪些文件是Zui近才有的,huo者文件大小不对劲的,这些可Neng就是隐藏表,蚌埠住了...。
还有一个办法是 用SHOW TABLE STATUS命令,这个命令可yi告诉我们每个表的情况,包括它是不是新的,是不是有问题的。
三、 日志记录是关键
MySQL的日志记录了suo有的事情,包括攻击者的操作。我们可yitong过日志kan到攻击者Zuo了什么比如他们修改了表格, 绝绝子... huo者是用了一些奇怪的命令。
基本上... 有个例子,有人入侵了一个政务系统,他们修改了表格14次这dou被记录下来了。我们还可yikan到他们用了一些延迟的命令,这些dou是攻击的迹象。
四、 文件和目录的访问
攻击者有时候会在数据库的特定目录里放一些文件,这些文件可Neng是恶意的。 摸鱼。 我们可yitong过检查文件和目录的访问记录来找到这些文件。
比如 有人入侵了一个金融公司,他们在mysqllibplugin目录里放了一个文件,这个文件的MD5值和恶意的文件一样。这就是我们找到攻击者的线索。
五、时间和网络流量
我们还可yitong过数据库操作的时间和网络流量来找到攻击的路径。比如有人tong过隐蔽表操作的时间来匹配外传的数据流量,这样就Neng找到攻击者的数据泄露通道,捡漏。。
六、 权限和属性
文件权限
正常表是mysql账户的,隐藏表可Neng是root权限
文件属性
正常表没有特殊的标记,隐藏表可Neng有特殊的标记
七、语句和载荷
攻击者可Neng会修改SQL语句,加入一些恶意的内容。我们可yitong过比较正常的查询和攻击者的查询,来找到攻击的路径,也许吧...。
比如一个正常的查询被改成了带恶意载荷的查询,这就是攻击的迹象。
八、蜜罐技术
说到点子上了。 蜜罐就像是放在陷阱里的糖果,吸引攻击者来吃。我们可yi设置一些假的MySQL服务器,吸引攻击者,ran后记录他们的信息。
奥利给! 有个例子,有人设置了一个假的3306端口,成功地捕获了攻击者的信息。
九、备份文件
备份文件里可Neng保存了隐藏表的历史版本。我们可yitong过比较备份文件, 深得我心。 来找到攻击者的活动。
尊嘟假嘟? 比如tong过比较备份,我们可yi找到攻击者植入webshell的时间。
十、 FLASHBACK技术
FLASHBACK技术可yi让我们回到过去的状态,kankan攻击者Zuo了什么。如guo攻击者修改了元数据,我们就可yitong过比较来找到他们的痕迹,别犹豫...。
十一、
你猜怎么着? 网站被攻击是hen常见的事情。隐藏表和异常操作是找到攻击路径的关键。我们要小心保护我们的网站,防止攻击者得手。
