count comprometida, ¿hay mysql logs?

¿Existe tal cosa como loggings mysql para determinar si se ha accedido / actualizado / eliminado algo. Mi count se vio comprometida y parece que sólo se cargaron scripts de spam.

Cambié todas las passwords e instale una detección de fuerza bruta. (No estoy seguro de cómo ellos brute forzado mi contraseña para empezar)

2 Solutions collect form web for “count comprometida, ¿hay mysql logs?”

Sí, si está configurado.

Manual >> 5.2. Registros del server MySQL

Si el logging binary se ha configurado, se puede ver casi cualquier actividad que ha cambiado los datos, y también reproducir hasta cierto punto. Podría resultar útil si ha habido un tipo de ataque de inyección de SQL.

Pero teniendo en count la pregunta que tomo que usted no está familiarizado con la administración de MySQL, y por lo tanto, sugiero que trate de encontrar a alguien que le ayude.

¿Qué se ha comprometido? ¿Era una count shell con privilegios extendidos o mysql? ¿Siente que necesita preservar evidencia para una investigación o simplemente está tratando de volver a estar en línea lo antes posible? Si era mysql, el primer paso que tomaría es impedir el acceso desde el exterior estableciendo lo siguiente en my.cnf. Una vez que tenga esto, puede comenzar a hacer un balance de la situación.

bind-address = 127.0.0.1

Si usted está preocupado por los cambios de mysql, entonces una manera muy simple es hacer un mysqldump de la db a partir de ahora y compararlo con uno en su copy de security fuera de antes de la transacción. Será bastante detallado, pero debe resaltar los cambios a usted.

Por lo que sé, mysql sólo registra los cambios si lo tiene establecido en el modo de debugging, pero esto es lento y detallado y no se recomienda en absoluto.

Si sospecha que su count de shell ha sido comprometida, entonces le sugeriría que examine cuidadosamente / etc / passwd / etc / group etc y luego inicie el process de construcción de un entorno más seguro y el cambio de su aplicación a ella (hay un puesto mucho más largo necesario acerca de esto que no soy capaz de hacer ahora, pero estoy seguro de que alguien más será capaz de ayudar).

  • ¿Cómo se comtesting que los serveres / PC no están infectados
  • Clonar la suite de encryption idéntica de Apache2 en linux a IIS 8.5 en Windows Server 2012r2
  • Desmagnetizadores económicos o destructores de discos duros?
  • Cómo iniciar manualmente y reiniciar Apache con mod_wsgi la alimentación de una contraseña protegida Python aplicación WSGI?
  • Puedo tomar el volcado de / proc / pid / exe
  • ¿Cómo podría hackear mi website?
  • Cómo proteger el administrador de tomcat para múltiples instancias
  • En Linux, ¿el uso de la ruta para get un resultado de IP resulta en un mejor performance que la caída en iptables?
  • ¿Cómo debo configurar SELinux cuando ejecute nginx dentro de Docker
  • Consideraciones de security de WPA versus WPA2?
  • ¿Cómo fue hackeado Matasano?
  • / var / log / btmp es de 6 GB, ¿cómo recortarlo?
  • Mensaje de error de Windows 2003 Server - error de inicio de session en Visor de sucesos
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.