本文由作者三汪首发于简书。
最近我司测试环境的mysql数据库暴露到外网环境以后,经常出现这个情况。
查看了一下日志,毫无疑问,被攻击了。
如果你也经常出现这个问题。去检查一下服务器日志吧。十有八九也是被攻击了
网上百度到的方法都是直接告诉你如何通过各种方式修改max_allowed_packet字段来解决。
然而,对于被攻击,这种解决方式是治标不治本的。
终究还是要回归到为什么会被成功攻击这个问题上。
我司测试环境mysql异常日志如下
2017-12-02T02:19:42.197206500Z 2017-12-02T02:19:42.196948Z 463 [Note] Access denied for user 'root'@'218.73.130.163' (using password: NO)
2017-12-02T02:19:42.597957262Z 2017-12-02T02:19:42.597721Z 464 [Note] Access denied for user 'root'@'218.73.130.163' (using password: YES)
2017-12-02T02:19:42.738660930Z 2017-12-02T02:19:42.738422Z 465 [Note] Access denied for user 'root'@'218.73.130.163' (using password: YES)
2017-12-02T02:19:42.864257241Z 2017-12-02T02:19:42.864005Z 466 [Note] Access denied for user 'root'@'218.73.130.163' (using password: YES)
2017-12-02T02:19:42.976233116Z 2017-12-02T02:19:42.976004Z 467 [Note] Access denied for user 'root'@'218.73.130.163' (using password: YES)
像这样的日志还有无数条。而且来自不同的ip。
很明显,攻击方采用的方式是不停地尝试root账户的密码直到成功登录。
解决方案
针对这种攻击方案,我们可以有以下几种解决方案:
1.使用复杂密码。不要使用"root","admin","123456"这类建议密码。
修改密码命令如下(Mysql5.7版本password变成authentication_string了)
UPDATE mysql.user SET authentication_string=PASSWORD('password') WHERE User='root';
2.设置root账户登录IP限定。
修改账户IP命令如下:
use mysql;
update user set host='localhost' where user = 'root';
3.使用mysql自身的防止攻击机制
mysql有一个参数是max_connect_errors,作用是设置同一地址最大错误连接数。
用来防止攻击。限制最大错误连接数也是一个有效避免这种攻击的方式。
但是不建议使用这个方式来做防御。
max_connect_errors默认值为10。一台物理服务器只要连接 异常中断累计超过10次,就再也无法连接上mysqld服务。 若异常中断累计超过参数设置的值,只能执行命令:FLUSH HOSTS;或者重新启动mysqld服务。
而我们的正常服务器的异常中断次数是没法控制的。因此这个参数一般建议设置在10W以上。这也是为什么我们不建议使用这种方式来进行防御。
被攻击原因分析
至于为什么被攻击呢。我来说一种可能性。
只是可能性,仅供参考。本人不对此分析负责。
其实被攻击没什么。我司在AWS上的服务器也被黑过。干掉了所有数据,然后发邮件勒索比特币。
这都很正常。然而这种动不动就骚扰你,却又不干掉你数据的攻击,图啥呢。
我搜索了一下攻击来源的某个IP,看到了某某高防服务器的介绍。
以上。
参考
以上。
希望我的文章对你能有所帮助。
我不能保证文中所有说法的百分百正确,
但我能保证它们都是我的理解和感悟以及拒绝直接复制黏贴(确实需要引用的部分我会附上源地址)。
有什么意见、见解或疑惑,欢迎留言讨论。
