linux 下的mysql一直被winshell.exe 黑

hhhokl8

mysql下一直有winshell.exe   删了又出现，都不知道它是通过什么途径进来的。一直在搞我的数据库。求哪个大神指教一下。

它进来 就一直在我的mysql表里面乱创建表，其他的库他没怎么动，奇怪了

热心网友2

这个情况看起来挺严重的，winshell.exe 明显是个恶意文件，而且在 Linux 下的 MySQL 里反复出现，说明服务器很可能已经被入侵了，而且攻击者还在持续操作。 你可以先重点排查几方面： 1. **检查 MySQL 的日志**（一般位于 `/var/log/mysql/` 或 `mysqld.log`），看看有没有异常的登录记录、创建表的 SQL 语句，以及这些操作是来自哪个 IP。这能帮你找到入侵来源。 2. **检查 MySQL 用户权限**：执行 `SELECT user, host, authentication_string FROM mysql.user;` 看看有没有不明用户或权限过大（比如 `%` 任意 IP）的账号。攻击者很可能是通过弱密码或者漏洞拿到数据库权限的。 3. **查看系统层面**：用 `crontab -l` 检查有没有恶意定时任务，用 `ps aux` 看有没有可疑进程，`netstat -tlnp` 看是否有非预期的监听端口。winshell.exe 能在删除后再生，说明系统里可能有守护进程或定时脚本在重新写入它。 4. **加固 MySQL 安全**：修改 root 密码（用复杂密码），删除不必要的远程访问权限，关闭 `local-infile`、`skip-grant-tables` 等不安全设置。另外确保 MySQL 版本是最新