内网攻击检测_内网攻击mysql服务器

急！MySQL 5.5 密码被改，网上的解决 *** 看不懂！求简单的解决 *** 。

如果你是系统管理员的话或你可以登陆服务器；可以修改密码的；

在windows下：

打开命令行窗口，停止mysql服务： Net stop mysql

启动mysql，一般到mysql的安装路径，找到 mysqld-nt.exe

执行：mysqld-nt --skip-grant-tables 当前窗口将会停止。

另外打开一个命令行窗口，执行mysql 如果提示没有这个命令，先进入MYSQL的安装位置下BIN目录再运闭困行mysqluse mysql

update user set password=password("new_password") where user="root";

flush privileges;

exit

用Ctrl+Alt+Del，找到mysqld-nt的进程杀掉它，在重漏数新启动mysql-nt服务返态首，就可以用新密码登录了

如何关闭Mysql打开的3306端口防止系统被入侵

Mysql会自动开启3306端口用于远程连接mysql服务. 3306端口就是MySQL的默认端口, 但是黑客可以通过它来攻枯念击你的主机系统. 服务器默认MySQL端口是3306, 最近经常被扫唤巧描, 甚至扫描到网站很慢或者打不开. 如果不需要远程数据库连接就可以让Mysql关闭3306端口, 既提高了访问速度, 又提高了安全性. 避免远程连接mysql数据库. 本地程序可以通过mysql.sock来连接, 不影响使用.

SSH到主机上输入下没链困面的命令:

vi /etc/my.cnf

在[mysqld]下添加:

skip-networking

最后重启Mysql

service mysqld restart

检查Mysql是否正常运行

service mysqld status

mysql cve-2016-6662 怎么修

mysql cve-2016-6662 怎么修

原始漏洞分析地址

安全客文章地址

就我目前测试的情况来看，这个漏洞比较鸡肋，原因有以下两点：

1，使用默认方式安装的mysql，mysql用户并没有配置文件/etc/mysql/my.cnf的所属权限；

2，不关闭selinux或apparmor的话，exp脚本执行是会报错的。

legalhackers原文中提到这个漏洞的前提是很多人按照错误的安装指南来进行权限配置，将配置文件的所属用户修改成了mysql。不过貌似漏洞发现者手里还藏了几个更加严重的mysql漏洞，并没有披露。

I. VULNERABILITY

MySQL = 5.7.15 远程代码执行/权限提升 (0day)

5.6.33

5.5.52

克隆mysql的同样受影响, 包括:

MariaDB PerconaDB

II. INTRODUCTION

一个独立的研究组织发现多处严重的Mysql漏洞，此次通报的是其中比较严重的一个漏洞CVE-2016-6662，它允许攻击者远程注入恶意设置到被攻击服务器的Mysql配置文件(my.cnf)中，导致更加严重的后果。

该漏洞影响所有默认配置的Mysql版本分支(5.7、5.6、5.5)，包括最新的版本，并可能被攻击者进行本地或者远程的贺和利用。Exp既可以通过 *** 连接或者利用类似phpmyadmin之类的web管理工具，以及SQL注入漏洞等来实现远程提权的目的。

SQL注入漏洞是在web应用中最常见的漏洞之一，在存在注入漏洞的情况下，攻击者可以配合CVE-2016-6662进行更加深入的入侵。如果被攻击服务器有运行受影响的mysql版本，攻击者禅搜盯可以以root权限执行任意代码，从而完全控制被攻击服务器。

目前官方还没有提供针对该漏洞的补丁，即使服务器开启了SELinux安全漏余模式，也会受到该漏洞Exp的影响。该通报后面提供一个该漏洞的Poc，演示攻击者如何实现远程代码执行。

III. DESCRIPTION

默认的Mysql安装包自带mysql_safe脚本，启动mysql服务器就可以观察到，例如，进行mysql全面更新。

Debian系统:

root@debian:~# l *** _release -a

No LSB modules are available.

Distributor ID: Debian

mysql数据库被攻击怎么恢复数据

　解决 *** 一：

一些库可以保留30天的备份。主库的Binlog保留时间为7天，可以从库备份拿出来恢复，然后通过主库的Binlog通过时间段来筛选出时乱信源间段所有更改的一些数据。或者通过其他 *** 慢慢将这部分数据找出来。一定得先找备份及时间点在备份的从库上检查备份，通过确定时间点可以查看备份文件进行恢复。

具体恢复操作：

1.从备份机拷贝备份

2.恢复测试机解压

3.恢复测试机导入

4.将主库的Binlog拷贝到恢复测试机

5.使用MySQLBinlog 生成SQL脚本

6.Binlog生成的SQL脚本导入

7.导入完成后检查数据正确性

解决 *** 二：

联系专业的资料恢复公司进行恢复。在数据局遭到攻击在没有备份或者无法恢复的情况下，由于资料恢复的复杂性专业性，如果擅自操作可能会使得数据库遭受无法恢复的灾难。这时候为坦桐了避免出现更大的损失，我们应该停止操作，以免造成数据的二次破坏。这时候应该之一哗态时间联系专业的资料恢复公司进行处理。

如何设置mysql可以通过内网访问

之一：更改 “mysql” 数据库里的 “user” 表里的 “host” 项，从”localhost”改称'%'。

或者新加条记录，“host” 项为要访问的ip地址，并授权。重启mysql服务。

第吵亩二：在系统防火墙添加例外端口：3306，并允许例外。错误提示：

ERROR 1130: Host '192.168.1.3' is not allowed to connect to this MySQL server

的解决 *** ： 1。 改表法。可能是你的帐号不允许从远程登陆，只能在localhost。这个时候只要在localhost的那台电脑，登入mysql后，更改 "mysql" 数据库里的 "user" 表里的 "host" 项，从"localhost"改称"%"

mysql -u root -pvmwaremysqluse mysql;mysqlupdate user set host = '%' where user = 'root';mysqlselect host, user from user; 2. 授权法。例如，你想myuser使用mypassword从任何主机连接到mysql服务器的话。

GRANT ALL PRIVILEGES ON *.* TO 'myuser'@'%' IDENTIFIED BY 'mypassword' WITH GRANT OPTION;

如果你想允许用户myuser从ip为192.168.1.3的主机连接到mysql服务器，并使用mypassword作为密码

GRANT ALL PRIVILEGES ON *.* TO 'myuser'@'192.168.1.3' IDENTIFIED BY 'mypassword' WITH GRANT OPTION;

3.在window自带的防火墙里的例外添加3306端口

总结：mysql -u root -p

mysqluse mysql;

mysqlselect 'host' from user where user='root';

mysqlupdate user set host = '%' where user ='root';

mysqlflush privileges;

mysqlselect 'host' from user where user='root';

之一句是以权限用户root登录

第二句：选择mysql库

第三句升芦森：查看mysql库中的user表的host值（即可进行连接访问的主机/IP名称）

第四句：修改host值（以通配符%的内容增加主机/IP地址），当然也可以直接增加IP地址

第五句：刷新MySQL的系统权限相关表

第六句：哗和再重新查看user表时，有修改。。

重起mysql服务即可完成。

我的电脑360报mysql漏洞被攻击怎么办

一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了

网站挂马是每个网站最头痛的问题，解决办法：1.在程序中很容易找到挂马的代码，直接删除，或则将你没有传服务器的源程序覆盖一次但反反复复被挂就得深入解决掉此问题了。但这不是更好的解决办法。更好的 *** 还是找专业做安全的来帮你解决掉

听朋烂毁罩友说 SineSafe 不错 你可以去看看。

清马+修补漏洞=彻底解决

所谓的挂马，就是黑客通过各种手段，包括SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day, 等各种 *** 获得网站管理员账号，然后登陆网站后台，通过数据库 备份/恢复 或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时，你就会自动的访问被转向的地址或者下载木马病毒

清马

1、找挂马的标签，比如有script language="javascript" src="网马地址"/script或iframe width=420 height=330 frameborder=0

scrolling=auto src=网马地址/iframe，或者是你用360或病杀毒软件拦截了网马网址。SQL数据库被挂马，一般是 *** 挂马。

2、找到了恶意代码后，接下来就是清马，如果是网页被挂马，可以用手动清，也可以用批量清，网页清马比较简单，这里就不详细讲，现在着重讲一下SQL数据库清马，用这一句语句“update 表名 set 字段名=replace(字段名,'aaa','')”， 解释一下这一句子的意思：把字段名里的内容包含aaa的替换成空，这样子就可以一个表一个表的批量删除网马。

在你的网站程序或数据库没有备份情况下，可以实行以上两步骤进行清马，如果你的网站程序有备份的话，直接覆盖原来的文件即可。

修补漏洞（修补网站漏洞也就是做一下网站安全。）

1、修改网站后台的用户余羡名和密码及后台的默认路径。

2、更改数据库名,如果是ACCESS数据库，那文件的扩展名更好不要用mdb，改成ASP的，文件名也可以多几个特殊符号。

3、接着检查一下网站有没有注入漏洞或跨站漏洞，如果有的话就相当打上防注入或防跨站补丁。

4、检查一下网站的上传文件，常见了有欺骗上传漏洞，就对相应的代码进行过滤。

5、尽可能不要暴露网站的后台地址，以免被社会工程学猜解出管理用户和密码。

6、写入一些防挂马代码，让框架代码等挂马无效。

7、禁用FSO权限也是一种比较绝的 *** 。

8、修改网站部分文件夹的读写权限。

9、如果你是自己的服务器，那就不仅要对你的网站程序做一下安全了，而且要对你的服务器做一下安全也是很有必要了！

网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。

您是否因为网站和服务器天天被入侵挂马等饥闹问题也曾有过想放弃的想法呢，您否也因为不太了解网站技术的问题而耽误了网站的运营，您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。