暴力撞库与弱密码检测
最近在生产数据库上碰到了一个问题,觉得挺有意思,总结出来和大家分享下。
关于暴力撞库和弱密码检测。

相信使用数据库的大家应该都不陌生,暴力撞库,简单通俗的讲通过一堆生成的密码,然后用默认用户去登陆你的数据,不断尝试,直到登陆到你数据库内。

下面讲下事情的始然吧

偶尔的一次巡检,查询mysql的errlog,发现了大量的root@localhost Access denied
如下图所示:

当时哥后背一凉,倒吸了一口气。这TM不是撞库么,难道哥的密码泄露了?

第一反应:是不是zabbix的某个脚本,用了root用户,密码没有更新。后来仔细确认后发现,这种怀疑不成立,因为zabbix用户并没有使用root。该撞库的日志也只在夜里1-4点某一个时刻触发,并不像zabbix的行为

持续检查:是不是自己的自动化运维脚本除了问题,于是注释了所有的任务并停掉了一台从库机器上zabbix agent,第二天依然有撞库的日志产生

脚本捕获:查到这儿的时候已经是第三天,因为每次都只有夜里会有日志触发生成,这时候就有点慌了。于是开始认真的检查操作的日志
/var/log/secure
/var/log/message
不得不说/var/log/secure还是很管用的日志,记录一个异常登陆的SSH

Sep 27 03:03:57 AliYunOS sshd[1653]: Did not receive identification string from 127.0.0.1

但是也不能作为什么明确的证据,于是开始想着通过捕获操作的进程和连接来抓到对应的任务。
立马用python写了一个脚本:

ps -ef
nestat -anlp

每五分钟捕获一次,第二天根据mysql errlog日志生成的时间点去找对应的操作系统日志还是很有收获的,一眼能比对出,正常时间点和出现撞库时产生的日志文件大小不一致。通过拿出两个日志通过nodepad++ comapre对比,又找到异样的进程

unix  3      [ ]         STREAM     CONNECTED     605808719 1565/AliSecureCheck

不得不说,即使拿到这个异常进程,都不能完全确定它是做什么的,也不能因此就认定它是撞库的来源。持着怀疑的态度提了一个阿里云的工单,质问进程的作用。

这时候突然想起来唐人街探案宝强的一句话:排除了所有不可能,剩下的那个多不可思议

很快阿里云的售后给出了回复:

AliSecureCheck 是安全中心基线检查检查进程 弱口令基线检测项在检测过程中,由于使用了      尝试登录的方式,会在系统日志中产生记录。 具体您参考
https://help.aliyun.com/document_detail/140429.html?spm=5176.11065259.1996646101.searchclickresult.66dd49bcMs3qiH&aly_as=_tKRTgNc 文档

问题结果揭晓:
直到看了连接,才清晰的知道,原来AliSecureCheck是阿里云的安全基线检查,其实就是安全策略的测试。
描述截图:

结论:
因为阿里云的基线检查,所以才导致mysql errlog内产生大量的撞库日志。
不能理解的一点:
撞库这个行为被阿里云称为弱密码检测
偷偷在私底下检测,这个行为没有任何的邮件告知,本身就是一种不合理的行为,通俗点讲:你会愿意你的管家偷偷测试你保险箱的密码么?没被发现就接着测试。那要是测试出来了呢?谁能保证会发生什么。测试被发现了就说是弱密码检测,老铁你这个理由也太高雅了吧~

mysql暴力撞库与弱密码检测相关推荐

  1. 分享一个验证码暴力撞库漏洞的案例

    记录一个验证码暴力破解的案例,安全问题不容忽视呀. 某公司接到用户反馈,应用存在安全漏洞,通过技术手段可以在无手机情况下,获取验证码,直接修改密码成功.如果用户密码被他人修改成功,直接涉及到资产损失问 ...

  2. wo-27s管理员账户和密码_某数据监测与分析系统可被撞库出登录密码

    点击蓝字 ·  关注我们 01 漏洞标题 某数据监测与分析系统可被撞库出登录密码 02 漏洞类型 逻辑漏洞 03 漏洞等级 中危 04 漏洞地址 http://xx.xx.xx.xx:8000/Use ...

  3. 弱口令扫描工具mysql ftp_基于端口的弱口令检测工具--iscan

    iscan: 基于端口的弱口令检测工具 亲手打造了一款基于端口的弱口令检测工具,使用python进行编写,主要可以用于渗透测试中常见服务端口弱口令的检测.目前支持以下服务: 系统弱口令:ftp.ssh ...

  4. linux弱密码检测

    1.安装一个john软件包用来检测弱密码 2.进入桌面可以看到 3.使用mkdir /soft 在/下创建一个soft的文件夹:然后使用mv命令:mv john-1.8.0.tar.xz /soft/ ...

  5. spotify电脑下载歌曲_流媒体音乐平台Spotify部分账号密码泄露 并非数据库泄露而是撞库...

    流媒体音乐平台 Spotify 日前发布安全警告称 , 监测到多达35万名该平台用户账号出现异地登录和异常操作问题.该公司向受影响的用户发出安全邮件提醒用户尽快修改密码,否则自己的账号可能会在世界各地 ...

  6. API 攻击分析:黑客利用大量IP低频撞库登录API

    近日,某互联网公司在使用永安在线API安全管控平台时捕获到一起账号撞库风险事件,攻击者使用大量动态代理秒拨IP对公司的某平台登录接口进行低频的撞库攻击.永安在线API安全团队及时响应此次风险事件,定位 ...

  7. 你的密码已泄露!使用C#阻止弱密码

    虽然,我们为了安全考虑,在注册用户时会检查密码规则,避免弱密码,比如百度的注册页面: 但是,现在的黑客也不会傻到用穷举的办法生成密码去攻击网站,更常用的方式是使用已泄露密码生成的字典. 那这些字典从哪 ...

  8. mysql 1819错误_关于数据库密码报错MySQL ERROR 1819 (HY000): Your password d

    您可能已经注意到,在为MySQL数据库服务器的root设置密码时,系统会提示您启用"验证密码"组件.如果启用,验证密码组件将自动检查给定密码的强度,并强制用户只设置足够安全的密码. ...

  9. 什么是撞库及撞库攻击的基本原理

    6月26日晚,我国大型聊天软件QQ出现了大规模盗号情况,而且是在QQ号本人在线时出现了被盗情况. 6月27日中午,腾讯QQ发布声明称:6月26日晚上10点左右,收到部分用户反馈QQ号码被盗.QQ安全团 ...

最新文章

  1. 使用Auto TensorCore CodeGen优化Matmul
  2. 以下用于数据存储领域的python第三方库是-Python数据存储及表示
  3. ASPNET登陆总结
  4. 【目录】python全栈工程师自动化+Py全栈+爬虫+Ai+python全栈工程师
  5. 【Python】Autoviz: 一行代码搞定数据集探索并可视化
  6. 小议WebRTC拥塞控制算法:GCC介绍
  7. 分分合合分分,谷歌医疗走向大败退
  8. mammary cancer关联规则挖掘详解
  9. python不能安装pip_python – 无法安装pip:权限被拒绝错误
  10. 使用Java线程并发库实现两个线程交替打印的线程题
  11. 36. BOM (2)
  12. springboot 直接转发调用_java springboot 引用openfeign 接口转发
  13. 单片机原理——MCS-51单片机结构及原理
  14. 如何更改计算机安全策略设置,用批处理更改本地安全策略
  15. 在线文档方案---Google docs
  16. 基于Patachmatch的stereo matching笔记(三):《PatchmatchNet》
  17. 禁止计算机使用u盘启动,如何禁止u盘启动电脑系统?bios禁止u盘启动系统教程
  18. UnknownError: Failed to get convolution algorithm. This is probably because cuDNN failed to initial
  19. GitHub上买房攻略开源,一夜之间涨星近千,网友说:正好需要!
  20. 猎豹网校快速掌握 QTP 测试工具

热门文章

  1. fatal: Authentication failed
  2. input框如何设置框禁止输入
  3. unity调试手机游戏(Android)【模拟器+真机】+设置运行时游戏横屏
  4. 伙伴云品牌升级:logo换新,调性更潮
  5. 不带头结点建立单链表(头插法、尾插法)
  6. GCC编译器和CC编译器的区别
  7. vue3 +Element-puls ,table 中使用$refs修改scrollTop 到顶部
  8. 对Xcode7真机调试的无力吐槽
  9. pycharm光标变粗变宽
  10. 笔记 | 产品经理必懂的技术(五)