mysql 被黑怎么排查入侵路径结果: typecho

AceSheep · 发表于 2024-3-23 10:38:12

本帖最后由 AceSheep 于 2024-3-23 20:35 编辑

本人博客经勒索认证价值 0.0123 BTC ≈ 796.50 USD (双手叉腰

数据库有4个库, 有root 和user用户
数据库有分配user用户并且限定特定表的访问权限
root用户仅限于 127.0.0.1登录

排查日志可以排除是从user用户入侵的
服务器开启ssh密钥登录并禁止密码登录. root用户也不可以直接使用ssh登录
数据库管理软件也是用完就删了, 用的时候在把文件上传上去的

这是怎么黑到我的数据库的, 该怎么排查

结果:
找到同样的受害者了, 删库, 勒索比特币给备份. 我这网络日志 typecho 的网站有大量自动化攻击记录

前段时间被黑客攻击了，把数据库删了，勒索我比特币给备份库。

https://forum.typecho.org/viewtopic.php?t=24787

Sam_Edward · 发表于 2024-3-23 10:39:17

帮顶，同问，虽然还没碰到勒索

榆木 · 发表于 2024-3-23 10:48:51

如你所说就是日志排查呗。。预想的和你实际做到的可能不一样，多查查看看是否真正的做到了你所说的这些限制。

AceSheep · 发表于 2024-3-23 11:17:50

榆木发表于 2024-3-23 10:48
如你所说就是日志排查呗。。预想的和你实际做到的可能不一样，多查查看看是否真正的做到了你所说的这些限 ...

太怪了, 挂了5个网站 3个在吃灰.
ssh 能登陆能排除
mysql user用户登录也能排除

得从网站后门如手了 orz

AceSheep · 发表于 2024-3-23 11:41:54

来大佬帮帮忙

流星i · 发表于 2024-3-23 11:47:05

插眼

dapeng · 发表于 2024-3-23 11:49:32

总不能是程序本身有后门吧

IDC888 · 发表于 2024-3-23 11:50:40

宝塔mysql默认对所有ip开放

AceSheep · 发表于 2024-3-23 11:53:40

IDC888 发表于 2024-3-23 11:50
宝塔mysql默认对所有ip开放

全部都是手搓配置文件, 没用宝塔这些后台

aaronchen · 发表于 2024-3-23 11:56:04

		自动登录	找回密码
密码			注册

mysql 被黑怎么排查入侵路径 结果: typecho

mysql 被黑怎么排查入侵路径结果: typecho