怎么对MySQL日志进行分析

本篇内容介绍了“怎么对MySQL日志进行分析”的有关知识，在实际案例的操作过程中，不少人都会遇到这样的困境，接下来就让小编带领大家学习一下如何处理这些情况吧！希望大家仔细阅读，能够学有所成！常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析，可以发现攻击行为，进一步还原攻击场景及追溯攻击源。general query log能记录成功连接和每次执行的查询，我们可以将它用作安全布防的一部分，为故障分析或黑客事件后的调查提供依据。比如，当我访问 /test.php?id=1，此时我们得到这样的日志：我们按列来解析一下：我们来做个简单的测试吧，使用我以前自己开发的弱口令工具来扫一下，字典设置比较小，2个用户，4个密码，共8组。MySQL中的log记录是这样子：你知道在这个口令猜解过程中，哪个是成功的吗？利用爆破工具，一个口令猜解成功的记录是这样子的：但是，如果你是用其他方式，可能会有一点点不一样的哦。Navicat for MySQL登录：命令行登录：这个差别在于，不同的数据库连接工具，它在连接数据库初始化的过程中是不同的。通过这样的差别，我们可以简单判断出用户是通过连接数据库的方式。另外，不管你是爆破工具、Navicat for MySQL、还是命令行，登录失败都是一样的记录。登录失败的记录：利用shell命令进行简单的分析：在日志分析中，特别需要注意一些敏感的操作行为，比如删表、备库，读写文件等。关键词：drop table、drop function、lock tables、unlock tables、load_file() 、into outfile、into dumpfile。敏感数据库表：SELECT * from mysql.user、SELECT * from mysql.func在利用SQL注入漏洞的过程中，我们会尝试利用sqlmap的–os-shell参数取得shell，如操作不慎，可能留下一些sqlmap创建的临时表和自定义函数。我们先来看一下sqlmap os-shell参数的用法以及原理：1、构造一个SQL注入点，开启Burp监听8080端口sqlmap.py -u http://192.168.204.164/sql.php?id=1 --os-shell --proxy=http://127.0.0.1免费云主机域名:8080HTTP通讯过程如下：创建了一个临时文件tmpbwyov.php，通过访问这个木马执行系统命令，并返回到页面展示。tmpbwyov.php：创建了一个临时表sqlmapoutput，调用存储过程执行系统命令将数据写入临时表，然后取临时表中的数据展示到前端。通过查看网站目录中最近新建的可疑文件，可以判断是否发生过sql注入漏洞攻击事件。检查方法：1、检查网站目录下，是否存在一些木马文件：2、检查是否有UDF提权、MOF提权痕迹检查目录是否有异常文件mysqllibpluginc:/windows/system32/wbem/mof/检查函数是否删除select * from mysql.func3、结合web日志分析。“怎么对MySQL日志进行分析”的内容就介绍到这里了，感谢大家的阅读。如果想了解更多行业相关的知识可以关注云编程开发博客网站，小编将为大家输出更多高质量的实用文章！