您现在的位置是:首页 > 教程资讯

MySql日志审计配备与剖析实战演练

作者:果E安全网时间:2020-10-25 20:29:36分类:教程资讯

简介mysql安全性基准线配备有很多文章内容讲过,mysql日志剖析的文章内容却较为少。前不久恰好碰到mysql数据库查询的勒索软件,日志剖析的情况下发觉了以前沒有注意到的地区,文中就根据构建仿真模拟自然环境,配备mysql服务器安全审计插件,根据审计插件的数据信息融合别的日志,对普遍的数据库查询攻击如暴力破解密码、SQL引入、指令实行开展审计日志剖析,试着复原

mysql安全性基准线配备有很多文章内容讲过,mysql日志剖析的文章内容却较为少。前不久恰好碰到mysql数据库查询的勒索软件,日志剖析的情况下发觉了以前沒有注意到的地区,文中就根据构建仿真模拟自然环境,配备mysql服务器安全审计插件,根据审计插件的数据信息融合别的日志,对普遍的数据库查询攻击如暴力破解密码、SQL引入、指令实行开展审计日志剖析,试着复原攻击情景及追朔攻击源。

应用数据库查询审计插件打开数据库查询审计会放弃一部分数据库查询特性,提议依据具体业务流程状况挑选审计插件或旁通布署审计机器设备。

普遍的mysql完全免费审计插件:mariadb? audit plugin, macfee? mysql-audit

大家以mariadb audit plugin为例子来进行配备安裝与剖析。

自然环境:windows server 2008 R2,phpstudy8.1,mysql 5.5.29,sqli-labs

官方网站下载mariadb-5.5.68 版本,应用cmd实行下列指令,缓解压力到目标目录

msiexec /a "d:\\mariadb-5.5.68-winx64.msi" /qb TARGETDIR="D:\\abc"

在MariaDB 5.5\\lib\\plugin文件目录中获取必须的插件server_audit.dll,开启mysqlcmd,查看plugin文件目录

1599614730.png!small拷贝server_audit.dll到插件文件目录,mysqlcmd安裝插件,查看插件情况

1599615188.png!small1599615243.png!small查看server_audit插件情况配备,默认设置为关掉情况,打开日志审计

1599615396.png!small1599615439.png!small这种主要参数的实际界定:

server_audit_events ? ?

特定记录到日志的event种类,可以用分号隔开的好几个值(connect,query,table,query_ddl等),假如打开了查看缓存文件(query cache),查看立即从查看缓存文件回到数据信息,将沒有table记录

server_audit_excl_users

该目录的客户个人行为将不记录,connect将不会受到该设定危害

server_audit_file_path ? ?

审计日志途径,假如server_audit_output_type为FILE,审计日志默认设置存于数据信息文件目录下。即主要参数datadir相匹配的数据信息文件目录下边。假如改动server_audit_file_path,以前旧的审计日志文档不容易被删掉。必须手工制作去清除、删掉。此外MySQL会刚开始新的审计日志轮换。

server_audit_file_rotate_now

强制性轮换一次,实行脚本制作SET GLOBAL server_audit_file_rotate_now=ON;后,审计日志便会强制性轮换一次。

server_audit_file_rotate_size

限定单独轮换审计日志尺寸,超过该限制值后全自动轮换。初始值为1000000,企业为byte,提议设定略微大一点,比如,64M尺寸,67108864。实际依据具体要求和主要参数server_audit_file_rotations一起设置。

server_audit_file_rotations?

轮换日志数量,当设成0表明审计日志不轮换。初始值为9。 一般必须依据具体要求开展改动。

server_audit_incl_users ? ?

特定什么客户的主题活动将记录到审计日志,connect将不会受到此自变量危害,该自变量比server_audit_excl_users 优先高

server_audit_loc_info

这个是插件內部应用的主要参数,对客户沒有什么意义。在初期版本中,客户将其视作写保护自变量,在高些版本中,它对客户不由此可见。

server_audit_logging ? ? ?

审计作用的电源开关, ON表明打开审计作用,OFF表明关掉审计作用。

server_audit_mode ? ?

标志版本,用以软件开发测试。针对客户来讲,此自变量沒有一切特殊含义。 它的值关键体现了起动插件所应用的网络服务器版本,供开发者用以检测 ? ? ?

server_audit_output_type ? ?

特定审计日志的种类,有SYSLOG 或FILE二种挑选,默认设置为FILE

server_audit_query_log_limit

记录中查看字符串数组的长短限定。默认设置为1024

server_audit_syslog_facility

当审计日志种类为syslog模式时,它界定了将发送至系统软件日志的记录的“作用”。 之后能够应用此参数过虑日志。

server_audit_syslog_ident ?

设定ident,做为每一个syslog记录的一部分?

server_audit_syslog_info ? ?

特定的info字符串数组将加上到syslog记录

server_audit_syslog_priority

界定记录日志的syslogd priority

查看err日志的途径。1599616899.png!small到此日志配备与需要的文档已齐备,以审计日志server_audit.log和data.err为基本开展侵入剖析。

根据构建sqli-labs接口测试,依据mysql日志,剖析mysql暴力破解密码,手工制作引入,sqlmap os-shell三种攻击方式的日志记录,尽量的复原攻击情景,追朔攻击源信息内容。

1、mysql暴力破解密码

mysql扩大开放端口号,应用mysql暴力破解密码时的日志信息内容

data.err? 中记录了攻击的ip详细地址和第一次联接的時间

200909 10:15:41[Warning]IP address '192.168.106.180' could not be resolved: 不清楚那样的服务器。

server_audit.log? 从下面的图能够看得出,攻击者线程同步破译,破译的账户root,攻击者ip 192.168.106.180,回到编码1045,登录取得成功后的实行了4个查看实际操作。

日志文件格式为:

[timestamp],[serverhost],[username],[host],[connectionid],[queryid],QUERY,[database],[object],[retcode]

1599618954.png!small

能够依据 账户,ip详细地址,回到编码开展日志挑选剖析,登录后查看实际操作特点,能够推断应用的破解工具。

2、sql注入攻击

应用sqli-labs仿真模拟存有系统漏洞的运用,github免费下载sqli-labs编码拷贝到phpstudy? www文件目录,运作新项目,根据手动式键入获得webshell。

仿真模拟情景:已经知道网络服务器强制执行phpinfo,疑是被侵入,必须根据日志剖析侵入点与得到 管理权限的方式。

本次data.err无转变,大家剖析nginx的access.log 和审计插件的server_audit.log

发觉access.log和server_audit.log均记录了攻击是sql注入,并根据mysql outfile载入侧门到web文件目录,实行了phpinfo,开启警报。因为access.log不记录post要求的要求体,故server_audit.log能够见到更详尽的攻击关键点。1599622483.png!small

1599622258.png!small

3、sqlmap os-shell攻击

根据sqlmap获得mysql os-shell,剖析os-shell全过程,日志有什么特点

仿真模拟情景:假定在情景2中,sql注入攻击时,运用方恢复了sql系统漏洞,并对web文件目录开展了管理权限限定,监管又发觉了指令实行的警报,试着剖析侵入点。

sqlmap -d "mysql://root:root@192.168.x.x:3306/mysql" --os-shell,取得成功后实行whoami

1599633384.png!small查询server_audit.log日志,能够见到sqlmap os-shell实行的详细全过程,包含检测mysql版本,字段名,电脑操作系统种类,怎样用完成udf完成指令实行等。

1599633965.png!small

1599636068.png!small

日志里包括了许多 sqlmap的特点,udf做到指令实行的特点,可融合别的日志分析判断为mysql数据泄露造成 的udf命令实行。

指令实行时的不正确会被不正确日志data.err记录,引入一个mysql勒索软件的日志截屏,暴露了攻击者操纵的服务器ip信息内容。

1599636592.png!small

根据构建自然环境融合日志剖析,了解了对于mysql数据库查询的几类普遍攻击方法,及其每个攻击方法相匹配的特点,能够从不正确日志、审计日志、web浏览日志融合来复原攻击途径,追溯攻击者,融合syslog能为威协攻击检测系统出示有效信息内容。

参照连接:

https://www.cnblogs.com/mike-tao/

https://zhuanlan.zhihu.com/p/83284578

https://mariadb.com/kb/en/mariadb-audit-plugin/

郑重声明:

果E安全网所有活动均为互联网所得,如有侵权请联系本站删除处理,转载请注明本站地址。

我来说两句