某天某时,我突然发现之前的系统登录不上去了,去查看数据库,发现我自己建的数据库,里面的表全被删掉了,所有的数据库,里面只有一个表WARNING,里面有个字段Bitcoin_Address,测试与比特币有关的攻击。更让人无法接受的是,后面查了一下,发现公司所有linux服务器下的mysql全是这样了。好可怕。
手忙脚乱,于是马上修改系统密码,数据库密码,关闭数据库外网访问权限,联系相关人员,修改防火墙策略,等等。总结一下,处理的第一阶段,比较紧张,慌慌忙忙做了如下一些工作。
一,查看
cat ~/.bash_history (执行过的命令)
cat ~/.mysql_history(数据库操作记录)
cat /var/log/mysqld.log (里面有一些数据库访问记录,有一点价值),发现里面很多外国IP访问过的记录。
last 系统登录历史
数据库mysql下的几个表,user表,performance_schema库,performance_ xxx库,之前performance_开头的两个库没怎么注意过,但这个其实很重要。
打开/etc/my.cnf,让数据库只绑定本机,bind 127.0.0.1.
passwd root,修改系统密码
有一点没做,就是mysql root绑定我自己的本机计算机访问,一是想着我本机为局域网ip不知可否,另外