Ryan

记录一次MySQL数据库被删
前几天打开网站翻日志的时候发现博客挂了。我检查了一下,进程都还在啊一看日志,报错数据库不存在,呃呃呃,数据库被删掉...
扫描右侧二维码阅读全文
07
2019/06

记录一次MySQL数据库被删

前几天打开网站翻日志的时候发现博客挂了。
fuck_mysql_hacker_01.png
我检查了一下,进程都还在啊
fuck_mysql_hacker_02.png
一看日志,报错数据库不存在,呃呃呃,数据库被删掉了!!!

以为是自己写的备份脚本有问题,于是就把计划任务停了,用历史数据还原了数据库。

没想到第二天数据库又没了。

哦,那就装个监控看一下。我选的是audit。

# yum install audit
# systemctl start auditd
# systemctl enable auditd

添加监控任务

# auditctl -w /data/mysql/ -p awxr -k mysql

fuck_mysql_hacker_03.png

等数据库被删除后再检查日志

type=SYSCALL msg=audit(1559783229.022:36760): arch=c000003e syscall=263 success=yes exit=0 a0=ffffffffffffff9c a1=223e0c0 a2=200 a3=7ffcb9f068a0 items=2 ppid=17658 pid=28216 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=5354 comm="rm" exe="/usr/bin/rm" key="mysql"

哈?MySQL自己删除的?MySQL漏洞吗,不可能,最新的的MySQL镜像。

被迫无奈看了下docker-compose.yml,破案,我映射了数据库的3306端口,Docker自动在防火墙上打开了,而且root密码是弱密码,估计是被脚本小子扫到了吧

    environment:
      MYSQL_ROOT_PASSWORD: root
    volumes:
      - /data/mysql:/var/lib/mysql
    ports:
      - 3306:3306

好了,删掉端口定义重启所有容器就行了。

搬瓦工年付$187机房套餐补货了,电信联通优化,512M内存/500G流量/1G带宽,建站稳定,优惠码:BWH1ZBPVK,【点击购买】!
搬瓦工年付$28CN2高速线路,512M内存/500G流量/1G带宽,电信联通优化,延迟低,速度快,建站稳定,优惠码同上,【点击购买】!
Last modification:June 7th, 2019 at 09:38 pm
If you think my article is useful to you, please feel free to appreciate

Leave a Comment

5 comments

  1. 妙文屋

    被入侵就算了,还删数据库,这就过分了

  2. Sam.Z

    =、= 删数据库多没意思,把密码爆出来,上传个后门,以后多方便~ 哈哈哈,如果要暴露在外面一定不要用弱密码呀。

  3. Sam.Z

    =、= 删数据库多没意思,把密码爆出来,上传个后门,以后多方便~ 哈哈哈,如果要暴露在外面一定不要用弱密码呀。

  4. 奶爸de笔记

    骚操作没看明白。密码被人扫了,然后他给你删库玩?

    1. Ryan