数据库日志分析有什么用
发布时间:2023-12-29 15:00:00 所属栏目:安全 来源:DaWei
导读: 这篇文章给大家分享的是关于数据库日志分析的内容。掌握数据库日志分析的操作还是很重要的,对数据库日志进行分析,能够发现攻击行为,从而做出应对及解决,那么具体怎样进行数据库日志进
|
这篇文章给大家分享的是关于数据库日志分析的内容。掌握数据库日志分析的操作还是很重要的,对数据库日志进行分析,能够发现攻击行为,从而做出应对及解决,那么具体怎样进行数据库日志进行分析呢?下面我们一起来了解看看。 常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。 一、Mysql日志分析 general query log能记录成功连接和每次执行的查询,我们可以将它用作安全布防的一部分,为故障分析或黑客事件后的调查提供依据。 1、查看log配置信息 show variables like '%general%'; 2、开启日志 SET GLOBAL general_log = 'On'; 3、指定日志文件路径 SET GLOBAL general_log_file = '/var/lib/mysql/mysql.log'; 比如,当我访问 /test.php?id=1,此时我们得到这样的日志: 190604 14:46:14 14 Connect root@localhost on 14 Init DB test 14 Query SELECT * FROM admin WHERE id = 1 14 Quit 我们按列来解析一下: 第一列:Time,时间列,前面一个是日期,后面一个是小时和分钟,有一些不显示的原因是因为这些sql语句几乎是同时执行的,所以就不另外记录时间了。 第二列:Id,就是show processlist出来的第一列的线程ID,对于长连接和一些比较耗时的sql语句,你可以精确找出究竟是那一条那一个线程在运行。 第三列:Command,操作类型,比如Connect就是连接数据库,Query就是查询数据库(增删查改都显示为查询),可以特定过虑一些操作。 第四列:Argument,详细信息,例如 Connect root@localhost on 意思就是连接数据库,如此类推,接下面的连上数据库之后,做了什么查询的操作。 二、登录成功/失败 我们来做个简单的测试吧,使用我以前自己开发的弱口令工具来扫一下,字典设置比较小,2个用户,4个密码,共8组。 MySQL中的log记录是这样子: Time Id Command Argument 190601 22:03:20 98 Connect root@192.168.204.1 on 98 Connect Access denied for user 'root'@'192.168.204.1' (using password: YES) 103 Connect mysql@192.168.204.1 on 103 Connect Access denied for user 'mysql'@'192.168.204.1' (using password: YES) 104 Connect mysql@192.168.204.1 on 104 Connect Access denied for user 'mysql'@'192.168.204.1' (using password: YES) 100 Connect root@192.168.204.1 on 101 Connect root@192.168.204.1 on 101 Connect Access denied for user 'root'@'192.168.204.1' (using password: YES) 99 Connect root@192.168.204.1 on 99 Connect Access denied for user 'root'@'192.168.204.1' (using password: YES) 105 Connect mysql@192.168.204.1 on 105 Connect Access denied for user 'mysql'@'192.168.204.1' (using password: YES) 100 Query set autocommit=0 102 Connect mysql@192.168.204.1 on 102 Connect Access denied for user 'mysql'@'192.168.204.1' (using password: YES) 100 Quit 你知道在这个口令猜解过程中,哪个是成功的吗? 利用爆破工具,一个口令猜解成功的记录是这样子的: 190601 22:03:20 100 Connectroot@192.168.204.1 on 100 Queryset autocommit=0 100 Quit 但是,如果你是用其他方式,可能会有一点点不一样的哦。 Navicat for MySQL登录: 190601 22:14:07 106 Connectroot@192.168.204.1 on 106 QuerySET NAMES utf8 106 QuerySHOW VARIABLES LIKE 'lower_case_%' 106 QuerySHOW VARIABLES LIKE 'profiling' 106 QuerySHOW DATABASES 命令行登录: 190601 22:17:25 111 Connectroot@localhost on 111 Queryselect @@version_comment limit 1 190601 22:17:56 111 Quit 这个差别在于,不同的数据库连接工具,它在连接数据库初始化的过程中是不同的。通过这样的差别,我们可以简单判断出用户是通过连接数据库的方式。 另外,不管你是爆破工具、Navicat for MySQL、还是命令行,登录失败都是一样的记录。 登录失败的记录: 102 Connect mysql@192.168.204.1 on 102 Connect Access denied for user 'mysql'@'192.168.204.1' (using password: YES) 利用shell命令进行简单的分析: 有哪些IP在爆破? grep "Access denied" mysql.log |cut -d "'" -f4|uniq -c|sort -nr 27 192.168.204.1 爆破用户名字典都有哪些? grep "Access denied" mysql.log |cut -d "'" -f2|uniq -c|sort - nr 13 mysql 12 root 1 root 1 mysql 在日志分析中,特别需要注意一些敏感的操作行为,比如删表、备库,读写文件等。 关键词:drop table、drop function、lock tables、unlock tables、load_file() 、into outfile、into dumpfile。 敏感数据库表:SELECT * from mysql.user、SELECT * from mysql.func (编辑:常州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐