mysql新漏洞

admin

题记

今天开机，突然发现新增了一个名为piress的账户，突然间就意识到我的电脑可能被入侵了。后来发现网上很多人都遇到这样的问题。经过一步步的查证，原来最近mysql爆出一个安全漏洞，远程登录mysql，尝试225次后就可以绕过身份验证登录到数据库。我很悲催，刚装上MySql就被别人扫描3306端口，然后远程种木马了……




经过

1、网上搜索相似案例，然后F8进安全模式，删除piress账户。

2、查看日志文件。右键-管理-事件查看器。

在安全模式下，我看到了一下内容：



有一个名为piress的用户执行了一个msi的安装程序，也就是种植木马。看时间可以发现，才装好mysql就被钉上了！看来这个漏洞已经被广泛利用了！

3、模式的MySQL密码是1234，过于简单，修改为更复杂点。

4、既然中毒了，肯定会生成很多病毒文件，所以赶紧用杀毒软件离线杀毒。我就杀出了169个病毒……好久没有这么中毒了！用linux都习惯了，现在工作需要转到windows，哎，立马中毒！截图如下



5、关注网络连接。比如“netstat -an”，小白用户就用360自带的"流量防火墙"，查看网络连接情况，如果出现异常，立马断网，杀毒！






小结

1、安装MySql时，尽量选择别的端口(默认是3306)，密码设复杂一点！在next的步骤中，注意不要选中"允许远程登录"。

2、从piress这个账户可以看出，攻击者也只是用了一些简单的工具(也许是别人写好的)，以及"很烂"的木马(lpk.dll是很常见的一种木马)，我大胆猜测是菜鸟照搬XXX的教程完成的，其实没什么技术含量。

3、还是liunx下更为安全呀！windows下到处都是盗号木马，种木马，学起来就很简单，导致很多菜鸟去抓小白当肉鸡……bs这种可笑的菜鸟。