sql入侵 mysql日志_服务器入侵日志分析(一)——mysql日志位置确定

最新推荐文章于 2023-06-21 00:14:17 发布
最新推荐文章于 2023-06-21 00:14:17 发布
阅读量310 收藏
点赞数
文章标签: sql入侵 mysql日志
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32243075/article/details/113542445
版权

安全应急响应工作中,一项重要任务就是要对mysql数据库的日志进行分析。我们通过对mysql日志记录的审计,发现攻击行为,进而追溯攻击源。在工作中遇见的各种服务器上,由于mysql安装方式不同,其日志文件存放的位置也不固定。要进行日志分析,首先第一步要找到日志文件的位置,因此,本文总结一些常用的快速查找mysql日志文件存放目录方法,以便日后使用。

一、OS层

1、服务通用查找法。先通过netstat命令grep出mysql的pid,再通过ps aux找到mysql的当前配置,代码如下

2400b48d4d928e4eb97af85a9578c444.png

可以看到,mysqld的/var/log目录为日志文件的存放目录。

2、find命令查找法。此法可以大概找到mysql的相关目录,然后需要再凭经验判断mysql日志文件的存放路径。

[root@redwand ~]# find / -name mysql

[root@redwand ~]# find / -name mysqld

[root@redwand ~]# locate mysql

3、

配置文件查找法。找到配置文件my.cnf(my.ini),读取文件中配置参数,找到日志路径。

[root@redwand ~]# find / -name my.cnf

/etc/my.cnf

[root@redwand ~]# cat /etc/my.cnf

[mysqld]

datadir=/var/lib/mysql

socket=/var/lib/mysql/mysql.sock

user=mysql

general_log = 1

log_output = TABLE

# Disabling symbolic-links is recommended to prevent assorted security risks

symbolic-links=0

[mysqld_safe]

log-error=/var/log/mysqld.log

pid-file=/var/run/mysqld/mysqld.pid

4、redhat系统rpm命令查找法。在redhat类似发行版本的Linux系统中,rpm命令有很好的查看安装包的功能。

[root@redwand ~]# rpm -qa | grep mysql # -a Query all installed packages

[root@redwand ~]# rpm -ql mysql-libs-5.1.73-8.el6_8.x86_64 # -l List files in package

[root@redwand ~]# rpm -qf `which mysql` # -f Query package owning FILE

mysql-5.1.73-8.el6_8.x86_64

二、DB层。

当我们已经知道了数据库的账号和密码,成功登陆mysql后,可以使用DB命令查看mysql特殊变量的值来找。

mysql> show global variables like '%log%';

+-----------------------------------------+---------------------------------+

| Variable_name | Value |

+-----------------------------------------+---------------------------------+

| back_log | 50 |

| binlog_cache_size | 32768 |

| binlog_direct_non_transactional_updates | OFF |

| binlog_format | STATEMENT |

| expire_logs_days | 0 |

| general_log | ON |

| general_log_file | /var/run/mysqld/mysqld.log |

| innodb_flush_log_at_trx_commit | 1 |

| innodb_locks_unsafe_for_binlog | OFF |

| innodb_log_buffer_size | 1048576 |

| innodb_log_file_size | 5242880 |

| innodb_log_files_in_group | 2 |

| innodb_log_group_home_dir | ./ |

| innodb_mirrored_log_groups | 1 |

| log | ON |

| log_bin | OFF |

| log_bin_trust_function_creators | OFF |

| log_bin_trust_routine_creators | OFF |

| log_error | /var/log/mysqld.log |

| log_output | TABLE |

| log_queries_not_using_indexes | OFF |

| log_slave_updates | OFF |

| log_slow_queries | OFF |

| log_warnings | 1 |

| max_binlog_cache_size | 18446744073709547520 |

| max_binlog_size | 1073741824 |

| max_relay_log_size | 0 |

| relay_log | |

| relay_log_index | |

| relay_log_info_file | relay-log.info |

| relay_log_purge | ON |

| relay_log_space_limit | 0 |

| slow_query_log | OFF |

| slow_query_log_file | /var/run/mysqld/mysqld-slow.log |

| sql_log_bin | ON |

| sql_log_off | OFF |

| sql_log_update | ON |

| sync_binlog | 0 |

+-----------------------------------------+---------------------------------+

38 rows in set (0.00 sec)

同时,我们还可以查看特殊变量,找到数据库data目录。

mysql> select @@datadir;

+-----------------+

| @@datadir |

+-----------------+

| /var/lib/mysql/ |

+-----------------+

1 row in set (0.00 sec)

weixin_32243075
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络攻防——被攻击日志
weixin_46560512的博客
03-11 6967
一次mongoBD被入侵日志,萌新刚入手,表示真高兴大佬能够回访,更重要的是没有真的“打我”。
玄机靶场 第二章日志分析-mysql应急响应
最新发布
qq_46343633的博客
06-05 1154
1.黑客第一次写入的shell flag{关键字符串}2.黑客反弹shell的ip flag{ip}3.黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx4.黑客获取的权限 flag{whoami后的值}
项目_MySQL服务器入侵,数据丢失,一招教你恢复数据【已恢复】
Window_mouse的博客
05-11 1万+
【已恢复】MySQL服务器入侵,数据丢失,一招教你恢复数据 0、前言 当时在宝塔安装了MySQL5.7,然后当时只是测试,就直接设置用户名和密码为root,今天在Navicat突然登录不上了,于是在linux下登录MySQL,只剩下一个ReadMe文件,于是打开看了一下: 以下数据库已被删除:dbeco。 我们有完整的备份。 要恢复它,您必须向我们的比特币地址xxxx支付xx比特币(BTC)。 如果您需要证明,请通过以下电子邮件与我们联系。 xxx@xxx.com 。 任何与付款无关的邮件都将被忽略!
sql注入一般流程(附例题)
热门推荐
Battery的博客
08-03 11万+
在与服务器数据库进行数据交互的地方拼接了恶意的sql代码,达到欺骗服务器执行恶意代码的目的。本质上是程序把用户输入的数据当成了sql语句执行。
sql注入日记
weixin_66484873的博客
01-27 3519
SQL注入笔记
mysql日志文件在哪 如何修改MySQL日志文件位置
12-15
7. **性能优化**:监控日志文件可以帮助识别性能瓶颈,比如通过分析慢查询日志来找出执行时间过长的SQL语句,从而进行优化。 综上所述,MySQL日志文件的管理和修改是数据库管理员日常维护工作的一部分,正确配置和...
mysql将bin-log日志文件转为sql文件的方法
01-19
查看mysqlbinlog版本 mysqlbinlog -V [--version] 查看binlog日志开启状态 ...需要将日志文件mysql-bin.000011中关于数据库tide的sql语句导出到文件tide.sql中,进行如下操作: // 将binlog日志文件关于
sql分析,慢日志设置,慢Sql分析工具
05-16
sql分析,慢日志设置,慢Sql分析工具:mysql.slow_log 表日志的操作;慢 sql 的 explain 分析;explain 结果的 type 类型举例;索引失效举例;慢 sql 的 profile 分析;慢 sql 的 optimizer_trace 分析;慢日志...
mysql中general_log日志知识点介绍
09-09
MySQL中的`general_log`日志是数据库管理系统用来记录所有SQL查询的一个功能,它记录了数据库服务器接收到的所有请求,包括数据定义语言(DDL)、数据操纵语言(DML)以及数据控制语言(DCL)操作。这使得开发人员和...
sql注入详细过程
qq_42890862的博客
06-30 5889
mysql mysql5.0以上版本包含内置的information_schema数据库,它储存着mysql所有的数据库和表结构信息,利用该数据库可以查询到所有的数据库和表的内容 5.0 暴力破解的方式获取数据 1.原理 当我们的Web app在向后台数据库传递SQL语句进行数据库操作时。如果对用户输入的参数没有经过严格的过滤处理,那么攻击者就可以构造特殊的SQL语句,直接输入数据库引擎执行,获取或修改数据库中的数据。 2.sql手工注入的基本思路 (1)找到注入点 在我们可控的输入部分加一些符号,查看页
五种MySql日志分析工具比拼
05-04
五种MySql日志分析工具比拼,可以帮助你对mysql进行优化,分析
sql入侵 mysql日志_【知了堂信安笔记】MSSQL日志分析
weixin_42619742的博客
02-11 415
文章来源:知了堂信息安全项目经理冯老师常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。0x01 MSSQL日志分析首先,MSSQL数据库应启用日志记录功能,默认配置仅限失败的登录,需修改为失败和成功的登录,这样就可以对用户登录进行审核。登录到SQL Server Management Studio,依次点击 管理...
SQL注入简介和注入方法教学
HAKUNAMATATATTA的博客
11-14 5015
sqli-labs靶场为例,详细介绍GET显错注入,GET盲注等一系列最新常见得SQL注入方法
【万字长文】SQL注入全流程解析,零基础看这一篇就够了
m0_74131821的博客
03-22 2141
SQL注入简单来说就是前端没有对输入的数据进行过滤,同时后端也没有过滤,导致一些不合法的SQL语句可以执行,导致SQL注入。
Java程序员从笨鸟到菜鸟之(一百零一)sql注入***详解(二)sql注入过程详解
weixin_34362875的博客
10-25 392
在上篇博客中我们分析了sql注入的原理,今天我们就来看一下sql注入的整体过程,也就是说如何进行sql注入,由于本人数据库和网络方面知识有限,此文章是对网上大量同类文章的分析与总结,其中有不少直接引用,参考文章太多,没有注意出处,请原作者见谅) SQL注入***的总体思路是: 1.发现SQL注入位置; 2.判断后台...
SQL注入攻击流程
weixin_44791273的博客
09-11 2480
1. 判断SQL注入点 本质原理是: 找一个需要后台处理后提交给数据库的点(所有的输入只要和数据库进行交互的,都有可能触发SQL注入) 一般为三大类: Get参数触发SQL注入 POST参数触发SQL注入 Cookie触发SQL注入 而验证是否存在注入点的方法有很多种 最常规,也最简单的方法,引入单引号判断是否存在注入点 ?id=100’ 返回错误说明有可能注入 ?id=100 and 1=1 返回正常 ?id=100 and 1=2返回错误 如果满足上面三点,是注入点的可能性就很高了 2. 判断注入类型
SQL注入攻击与防护
weixin_62707591的博客
06-21 5720
攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,并且插入的恶意SQL命令会导致原有SQL语句作用发生改变,从而得到欺骗服务器执行恶意SQL命令的一种攻击方式。① 概述开源的自动化SQL注入工具,由Python写成② 主要功能扫描、发现、利用给定URL的SQL注入漏洞③ 特点。
SQL注入-02-注入步骤
xhxtalent的博客
11-24 1631
SQL注入的攻击步骤: 1、确认注入攻击目标网站 2、目标网站的一般信息的收集、分析与提取 3、网站技术分析:寻找和测试可用注入点,网页输入输出机制分析 4、探子回报:注入SQL确定数据库类型,当前账户权限级别 5、提权分析:根据用户级别确定是否可以与系统层交互提权,是否可以与数据库层交互提权,是否可以获取web后台管理员权限的可能性 6、网站可用SQL注入类型测试,盲注?显注? 7、盲注策略:使用注入分析工具替代人工 ​ 显注策略:第三者上位 攻击的准备–信息收集与分析 1.信念: 没有无用的信息 黑
计算机-mysql-基于NoSQL的大数据处理的研究.pdf
07-08
本文档深入探讨了"计算机-mysql-基于NoSQL的大数据处理的研究"这一主题,主要关注于NoSQL技术在大数据环境下的应用及其对大数据处理方法的影响。文章首先在第一章绪论中阐述了研究背景和意义,指出随着数据量爆炸性...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值