本文摘自PHP中文网,作者V,侵删。
常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。
一、Mysql日志分析
general query log能记录成功连接和每次执行的查询,我们可以将它用作安全布防的一部分,为故障分析或黑客事件后的调查提供依据。
1、查看log配置信息
1 | show variables like '%general%';
|
2、开启日志
1 | SET GLOBAL general_log = 'On';
|
3、指定日志文件路径
1 | SET GLOBAL general_log_file = '/var/lib/mysql/mysql.log';
|
比如,当我访问 /test.php?id=1,此时我们得到这样的日志:
1 2 3 4 | 190604 14:46:14 14 Connect root@localhost on
14 Init DB test
14 Query SELECT * FROM admin WHERE id = 1
14 Quit
|
我们按列来解析一下:
第一列:Time,时间列,前面一个是日期,后面一个是小时和分钟,有一些不显示的原因是因为这些sql语句几乎是同时执行的,所以就不另外记录时间了。
第二列:Id,就是show processlist出来的第一列的线程ID,对于长连接和一些比较耗时的sql语句,你可以精确找出究竟是那一条那一个线程在运行。
第三列:Command,操作类型,比如Connect就是连接数据库,Query就是查询数据库(增删查改都显示为查询),可以特定过虑一些操作。
第四列:Argument,详细信息,例如 Connect root@localhost on 意思就是连接数据库,如此类推,接下面的连上数据库之后,做了什么查询的操作。
二、登录成功/失败
我们来做个简单的测试吧,使用我以前自己开发的弱口令工具来扫一下,字典设置比较小,2个用户,4个密码,共8组。
MySQL中的log记录是这样子:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 | Time Id Command Argument
190601 22:03:20 98 Connect root@192.168.204.1 on
98 Connect Access denied for user 'root'@'192.168.204.1' (using password: YES)
103 Connect mysql@192.168.204.1 on
103 Connect Access denied for user 'mysql'@'192.168.204.1' (using password: YES)
104 Connect mysql@192.168.204.1 on
104 Connect Access denied for user 'mysql'@'192.168.204.1' (using password: YES)
100 Connect root@192.168.204.1 on
101 Connect root@192.168.204.1 on
101 Connect Access denied for user 'root'@'192.168.204.1' (using password: YES)
99 Connect root@192.168.204.1 on
99 Connect Access denied for user 'root'@'192.168.204.1' (using password: YES)
105 Connect mysql@192.168.204.1 on
105 Connect Access denied for user 'mysql'@'192.168.204.1' (using password: YES)
100 Query set autocommit=0
102 Connect mysql@192.168.204.1 on
102 Connect Access denied for user 'mysql'@'192.168.204.1' (using password: YES)
100 Quit
|
你知道在这个口令猜解过程中,哪个是成功的吗?
利用爆破工具,一个口令猜解成功的记录是这样子的:
1 2 3 | 190601 22:03:20 100 Connectroot@192.168.204.1 on
100 Queryset autocommit=0
100 Quit
|
但是,如果你是用其他方式,可能会有一点点不一样的哦。
阅读剩余部分
相关阅读 >>
如何设置apache每天保存日志
linux中mysql日志在哪
linux环境下查看mysql运行错误日志
如何对数据库日志进行分析
linux日志在哪里
linux下如何配置php连接数据库
centos系统的日志文件在哪
linux查看日志出现中文乱码
如何清空docker日志
linux查看数据库安装在哪
更多相关阅读请进入《数据库》频道 >>
转载请注明出处:木庄网络博客 » 如何对数据库日志进行分析
