全球主机交流论坛

标题: mysql 被黑怎么排查入侵路径结果: typecho [打印本页]

作者: AceSheep 时间: 2024-3-23 10:38
标题: mysql 被黑怎么排查入侵路径结果: typecho
本帖最后由 AceSheep 于 2024-3-23 20:35 编辑

本人博客经勒索认证价值 0.0123 BTC ≈ 796.50 USD (双手叉腰

数据库有4个库, 有root 和user用户
数据库有分配user用户并且限定特定表的访问权限
root用户仅限于 127.0.0.1登录

排查日志可以排除是从user用户入侵的
服务器开启ssh密钥登录并禁止密码登录. root用户也不可以直接使用ssh登录
数据库管理软件也是用完就删了, 用的时候在把文件上传上去的

这是怎么黑到我的数据库的, 该怎么排查

结果:
找到同样的受害者了, 删库, 勒索比特币给备份. 我这网络日志 typecho 的网站有大量自动化攻击记录

前段时间被黑客攻击了，把数据库删了，勒索我比特币给备份库。

https://forum.typecho.org/viewtopic.php?t=24787

作者: Sam_Edward 时间: 2024-3-23 10:39
帮顶，同问，虽然还没碰到勒索

作者: 榆木 时间: 2024-3-23 10:48
如你所说就是日志排查呗。。预想的和你实际做到的可能不一样，多查查看看是否真正的做到了你所说的这些限制。

作者: AceSheep 时间: 2024-3-23 11:17

榆木发表于 2024-3-23 10:48
如你所说就是日志排查呗。。预想的和你实际做到的可能不一样，多查查看看是否真正的做到了你所说的这些限 ...

太怪了, 挂了5个网站 3个在吃灰.
ssh 能登陆能排除
mysql user用户登录也能排除

得从网站后门如手了 orz

作者: AceSheep 时间: 2024-3-23 11:41
来大佬帮帮忙

作者: 流星i 时间: 2024-3-23 11:47
插眼

作者: dapeng 时间: 2024-3-23 11:49
总不能是程序本身有后门吧

作者: IDC888 时间: 2024-3-23 11:50
宝塔mysql默认对所有ip开放

作者: AceSheep 时间: 2024-3-23 11:53

IDC888 发表于 2024-3-23 11:50
宝塔mysql默认对所有ip开放

全部都是手搓配置文件, 没用宝塔这些后台

作者: aaronchen 时间: 2024-3-23 11:56
cy

作者: 四叶草 时间: 2024-3-23 12:22
mysql日志呢

作者: icon 时间: 2024-3-23 12:24
我见过扫描器的威力，把mysql的root弄上远程访问再弄上弱密码，几分钟数据库就被加密了
你这个照理说不会。。不过，会不会是你的配置预期和实际不符?

作者: 科技 时间: 2024-3-23 12:35
离谱，这样防范应该大概率是程序问题

作者: 好得大恩 时间: 2024-3-23 12:44
我mysql 端口直接暴露公网，root用户密码可以登录
裸奔一年多，没啥事。。。

作者: huifukejian 时间: 2024-3-23 13:04
宝塔这玩意少用

作者: karson 时间: 2024-3-23 13:06
比较像是恶意软件造成的

作者: AceSheep 时间: 2024-3-23 13:25

icon 发表于 2024-3-23 12:24
我见过扫描器的威力，把mysql的root弄上远程访问再弄上弱密码，几分钟数据库就被加密了
你这个照理说不会。 ...

ssh 日志没有登录记录, 网站访问日志也没被删. ssh 是能确定没有登陆过的

mysql的root账号我测试几种方式登录都是登录不成功的

查服务中断的前后20分钟整个系统的文件修改时间. 只有数据库文件有变动

/var/lib/mysql/RECOVER_YOUR_DATA
/var/lib/mysql/RECOVER_YOUR_DATA/db.opt
/var/lib/mysql/RECOVER_YOUR_DATA/RECOVER_YOUR_DATA.frm

复制代码

网站被黑的前后20分钟是没有任何异常访问记录的, 有点像是一个定时脚本. 但是ssh 没有任何登录记录

不过博客站又被扫描

作者: AceSheep 时间: 2024-3-23 13:26

好得大恩发表于 2024-3-23 12:44
我mysql 端口直接暴露公网，root用户密码可以登录
裸奔一年多，没啥事。。。 ...

我部署6年了今天突然被搞了

作者: AceSheep 时间: 2024-3-23 13:27

huifukejian 发表于 2024-3-23 13:04
宝塔这玩意少用

从不用宝塔我都是手搓配置的

作者: ffegya 时间: 2024-3-23 13:27

AceSheep 发表于 2024-3-23 13:26
我部署6年了今天突然被搞了

啥网站，发出来看看

作者: AceSheep 时间: 2024-3-23 13:29

四叶草发表于 2024-3-23 12:22
mysql日志呢

唯一遗憾数据库日志没开, 从其他服务如手排查的

作者: AceSheep 时间: 2024-3-23 13:30

ffegya 发表于 2024-3-23 13:27
啥网站，发出来看看

自己的博客和一些其他php程序

作者: 88232128 时间: 2024-3-23 13:30
好好反思一下为什么要开放数据库端口。

作者: AceSheep 时间: 2024-3-23 13:31

88232128 发表于 2024-3-23 13:30
好好反思一下为什么要开放数据库端口。

没有开放数据库端口, 只能127.0.0.1 访问

作者: 88232128 时间: 2024-3-23 13:32
本帖最后由 88232128 于 2024-3-23 13:37 编辑

这种明显是蠕虫自动化黑进来的，除了你自己设置弱口令或者空密码没有其他解释。建议你再看看redis。

作者: 88232128 时间: 2024-3-23 13:34

AceSheep 发表于 2024-3-23 13:31
没有开放数据库端口, 只能127.0.0.1 访问

开放数据库端口和只能127.1访问是两码事。如果你MySQL本身有漏洞的话那权限限制有什么作用呢。

作者: AceSheep 时间: 2024-3-23 13:39
本帖最后由 AceSheep 于 2024-3-23 13:41 编辑

88232128 发表于 2024-3-23 13:32
这种明显是蠕虫自动化黑进来的，除了你自己设置弱口令或者空密码没有其他解释。 ...

自动化入侵肯定得留下日志的. 现在找网站日志没看到入侵记录. 也能确定没有得到shell权限
日志是 root可读写, 其余用户只读. 对外服务都是非root 用户一个服务一个用户

还是找不到是从哪里入侵进来的, 该从哪里防范

作者: 88232128 时间: 2024-3-23 13:42

AceSheep 发表于 2024-3-23 13:39
自动化入侵肯定得留下日志的. 现在找网站日志没看到入侵记录. 也能确定没有得到shell权限
日志是 root可 ...

慢慢排查就好了，这种自动化进来的，都可以自己慢慢看，日志肯定都还在。

作者: ffegya 时间: 2024-3-23 13:45

AceSheep 发表于 2024-3-23 13:30
自己的博客和一些其他php程序

pm一下看看，学习一下

作者: AceSheep 时间: 2024-3-23 13:50

ffegya 发表于 2024-3-23 13:45
pm一下看看，学习一下

博客没恢复
本来想改静态博客这波勒索正好让我重搭一次了

作者: ffegya 时间: 2024-3-23 13:52

AceSheep 发表于 2024-3-23 13:50
博客没恢复
本来想改静态博客这波勒索正好让我重搭一次了

你用的哪里的服务器，便宜吗，博客什么程序

作者: mark123 时间: 2024-3-23 13:53
写个脚本每分钟备份数据库就行
root@s32403 ~/backupwordpress # ls
backwordpress2024-03-09-22-33-51.sql  backwordpress2024-03-17-23-20-01.sql
backwordpress2024-03-09-22-34-00.sql  backwordpress2024-03-18-23-20-01.sql
backwordpress2024-03-09-23-06-55.sql  backwordpress2024-03-19-23-20-01.sql
backwordpress2024-03-09-23-20-01.sql  backwordpress2024-03-20-23-20-01.sql
backwordpress2024-03-10-23-20-01.sql  backwordpress2024-03-21-23-20-01.sql
backwordpress2024-03-11-23-20-01.sql  backwordpress2024-03-22-23-20-01.sql
backwordpress2024-03-12-23-20-01.sql  backwordpress24-03-09-1709993476.sql
backwordpress2024-03-13-23-20-01.sql  backwordpress24-03-09-1709993653.sql
backwordpress2024-03-14-23-20-01.sql  backwordpress24-03-09-1709993659.sql
backwordpress2024-03-15-23-20-01.sql  backwordpress24-03-09-1709993669.sql
backwordpress2024-03-16-23-20-01.sql  mysql.sh
root@s32403 ~/backupwordpress # cat mysql.sh
#!/bin/bash
mysqldump -uroot -p12345678 --all-databases >  ~/backupwordpress/backwordpress$(date +%F-%H-%M-%S).sql

作者: bigjj 时间: 2024-3-23 13:58
网站程序存在漏洞呗，通过注入或者其他手段获取root账号密码本机登录，

作者: bigjj 时间: 2024-3-23 14:00
有可能把日志进行清理了

作者: AceSheep 时间: 2024-3-23 14:03

ffegya 发表于 2024-3-23 13:52
你用的哪里的服务器，便宜吗，博客什么程序

本地服务器+反代, typecho 这博客程序一般般

作者: AceSheep 时间: 2024-3-23 14:06

mark123 发表于 2024-3-23 13:53
写个脚本每分钟备份数据库就行
root@s32403 ~/backupwordpress # ls
backwordpress2024-03-09-22-33-51.sql ...

备份是有的

只是...我里三层外三层设防御, 结果你在我数据库里写了个到此一游. 我不能忍啊到底怎么进来的

作者: mark123 时间: 2024-3-23 14:08
啥系统有些系统漏洞我一招就进去了

作者: AceSheep 时间: 2024-3-23 15:08

bigjj 发表于 2024-3-23 13:58
网站程序存在漏洞呗，通过注入或者其他手段获取root账号密码本机登录，

找到入侵路径了 typecho 被黑了. 还有同样被黑的受害者

作者: AceSheep 时间: 2024-3-23 15:15

Sam_Edward 发表于 2024-3-23 10:39
帮顶，同问，虽然还没碰到勒索

结果是 typecho 被黑删库勒索的.

作者: Sam_Edward 时间: 2024-3-23 15:20

AceSheep 发表于 2024-3-23 15:15
结果是 typecho 被黑删库勒索的.

后续准备用什么平台，我还没有自己的博客，准备参考大佬的

作者: ffegya 时间: 2024-3-23 15:32

AceSheep 发表于 2024-3-23 15:08
找到入侵路径了 typecho 被黑了. 还有同样被黑的受害者

怎么黑的typecho升级到最新了吗

作者: icon 时间: 2024-3-23 15:34
额。。你用的哪个版本？1.2.1?

作者: AceSheep 时间: 2024-3-23 15:37

Sam_Edward 发表于 2024-3-23 15:20
后续准备用什么平台，我还没有自己的博客，准备参考大佬的

换静态博客+自建评论

还没最终确定用哪一个

作者: ffegya 时间: 2024-3-23 15:40

AceSheep 发表于 2024-3-23 15:37
换静态博客+自建评论

还没最终确定用哪一个

你用的哪个版本？

作者: 四叶草 时间: 2024-3-23 16:02
几个站数据库都被删了？
怎么跨数据库的？

作者: AceSheep 时间: 2024-3-23 17:30

四叶草发表于 2024-3-23 16:02
几个站数据库都被删了？
怎么跨数据库的？

历史遗留问题 typecho 用的数据库的root账号

作者: @-@ 时间: 2024-3-23 18:34
提示: 作者被禁止或删除内容自动屏蔽

作者: AceSheep 时间: 2024-3-23 20:38

@-@ 发表于 2024-3-23 18:34
typecho什么版本

17.12.14

作者: AceSheep 时间: 2024-3-23 20:40

icon 发表于 2024-3-23 15:34
额。。你用的哪个版本？1.2.1?

17.12.14

作者: SUOSUO 时间: 2024-3-23 20:55
我今天也有一个发现宝塔面板密码错误也是禁止密码root登录只能用密匙登录，不知道被改什么没有

作者: SUOSUO 时间: 2024-3-23 20:57
数据库10分钟远程备份一次，文件一天备份一次

作者: txjcv 时间: 2024-3-23 21:34
你是root用户仅限于127.0.0.1登录还是mysql服务端口只监听127.0.0.1地址，然后有没有安装phpmyadmin

作者: ffegya 时间: 2024-3-23 22:03

AceSheep 发表于 2024-3-23 20:40
17.12.14

typecho版本太老了，赶紧换最新稳定版1.2.1

作者: acm 时间: 2024-3-23 22:11
用宝塔三年,从来没有被黑

作者: 130ta0d 时间: 2024-3-23 22:35
帮顶，同问

作者: 小朊 时间: 2024-3-23 23:14
绑定下看不懂

作者: AceSheep 时间: 2024-3-24 09:55

ffegya 发表于 2024-3-23 22:03
typecho版本太老了，赶紧换最新稳定版1.2.1

不换了, 这几年用下来问题太多了
我换静态博客了

作者: AceSheep 时间: 2024-3-24 09:58

txjcv 发表于 2024-3-23 21:34
你是root用户仅限于127.0.0.1登录还是mysql服务端口只监听127.0.0.1地址，然后有没有安装phpmyadmin ...

数据库只监听 127.0.0.1
数据库 root 用户仅限于 127.0.0.1登录
linux root 用户仅限于 sudo 登录
没有安装phpmyadmin

欢迎光临全球主机交流论坛 (https://443502.xyz/)