Есть ли такая вещь, как журналы mysql, чтобы определить, было ли что-либо доступно / обновлено / удалено. Моя учетная запись была взломана, и, похоже, были загружены только спам-скрипты.
Сменил все пароли и установил детектор грубой силы. (Я не уверен, как они взломали мой пароль с самого начала)
Да, если так настроено.
Инструкция >> 5.2. Журналы сервера MySQL
Если двоичный журнал настроен, вы можете практически увидеть любую активность, которая изменила данные, а также воспроизвести ее до определенного момента. Может оказаться полезным при атаке типа SQL-инъекции.
Но, учитывая этот вопрос, я считаю, что вы не знакомы с администрированием MySQL, и поэтому предлагаю вам попытаться найти кого-нибудь, кто вам поможет.
Что было скомпрометировано? Это была учетная запись оболочки с расширенными привилегиями или mysql? Считаете ли вы, что вам необходимо сохранить доказательства для расследования, или вы просто пытаетесь как можно скорее снова подключиться к сети? Если бы это был mysql, первым делом я бы предотвратил доступ извне, установив в my.cnf следующее. Как только у вас это получится, вы можете приступить к оценке ситуации.
привязка-адрес = 127.0.0.1
Если вас беспокоят изменения mysql, то очень простой способ - сделать mysqldump базы данных с этого момента и сравнить ее с данными из резервной копии за пределами сайта, сделанной до компрометации. Он будет довольно подробным, но он должен привлечь внимание к изменениям.
Насколько мне известно, mysql регистрирует изменения только в том случае, если он установлен в режиме отладки, но он медленный и подробный и не рекомендуется вообще.
Если вы подозреваете, что ваша учетная запись оболочки была взломана, я бы посоветовал вам внимательно изучить / etc / passwd / etc / group и т.д., а затем начать процесс создания более безопасной среды и переноса вашего приложения на нее (требуется гораздо более длинный пост об этом, что я не могу сделать прямо сейчас, но уверен, что кто-то еще сможет помочь).