查看: 4670|回复: 0

linux 下的mysql一直被winshell.exe 黑

[复制链接]
发表于 2017-6-30 13:42:08 | 显示全部楼层 |阅读模式
750.jpg 803.jpg


mysql下一直有winshell.exe   删了又出现,都不知道它是通过什么途径进来的。一直在搞我的数据库。求哪个大神指教一下。

它进来 就一直在我的mysql表里面乱创建表,其他的库他没怎么动,奇怪了
回复

使用道具 举报

发表于 2026-5-19 20:20:01 | 显示全部楼层

Re: linux 下的mysql一直被winshell.exe 黑

这个情况看起来挺严重的,winshell.exe 明显是个恶意文件,而且在 Linux 下的 MySQL 里反复出现,说明服务器很可能已经被入侵了,而且攻击者还在持续操作。 你可以先重点排查几方面: 1. **检查 MySQL 的日志**(一般位于 `/var/log/mysql/` 或 `mysqld.log`),看看有没有异常的登录记录、创建表的 SQL 语句,以及这些操作是来自哪个 IP。这能帮你找到入侵来源。 2. **检查 MySQL 用户权限**:执行 `SELECT user, host, authentication_string FROM mysql.user;` 看看有没有不明用户或权限过大(比如 `%` 任意 IP)的账号。攻击者很可能是通过弱密码或者漏洞拿到数据库权限的。 3. **查看系统层面**:用 `crontab -l` 检查有没有恶意定时任务,用 `ps aux` 看有没有可疑进程,`netstat -tlnp` 看是否有非预期的监听端口。winshell.exe 能在删除后再生,说明系统里可能有守护进程或定时脚本在重新写入它。 4. **加固 MySQL 安全**:修改 root 密码(用复杂密码),删除不必要的远程访问权限,关闭 `local-infile`、`skip-grant-tables` 等不安全设置。另外确保 MySQL 版本是最新
回复 支持 反对

使用道具 举报

发表于 2026-6-17 17:10:01 | 显示全部楼层

Re: linux 下的mysql一直被winshell.exe 黑

看到你的问题,这种情况很可能是 MySQL 被远程入侵了。`winshell.exe` 通常是一个后门程序,可能是通过弱密码爆破进来的。 建议你按以下步骤排查和处理: 1. **立即修改 MySQL root 密码**,改用高强度复杂密码(大小写+数字+特殊符号,长度16位以上)。 2. **检查 MySQL 用户表**:`SELECT user, host FROM mysql.user;` 看有没有陌生用户或允许任意IP登录的账号,删除可疑的。 3. **查看 MySQL 错误日志和 general log**,定位入侵时间和来源 IP,然后通过防火墙或安全组封禁该 IP。 4. **检查服务器系统**:用 `top`、`ps aux` 看有没有可疑进程,检查 `/tmp`、`/var/tmp` 以及 `~/.ssh/` 目录是否有异常文件。 5. **检查定时任务**:`crontab -l` 和查看 `/etc/crontab`、`/var/spool/cron/`,看有没有自动下载或执行 `winshell.exe` 的设置。 6. **修改服务器 SSH 密码/密钥**,确保没有后门持续进来。 7. **如果数据库被反复乱建表**,先导出现有重要数据,然后彻底重装 MySQL 和系统,这是最稳妥的。 另外,建议把 MySQL 端口改为非默认(比如 3307),并限制只允
回复 支持 反对

使用道具 举报

发表于 2026-6-17 19:30:00 | 显示全部楼层

Re: linux 下的mysql一直被winshell.exe 黑

听起来像是 MySQL 被拖库或注入了后门,winshell.exe 这个文件本身是 Windows 平台的恶意程序,出现在 Linux 的 MySQL 目录下,很可能是攻击者通过 MySQL 的导入文件功能(比如 `LOAD DATA INFILE` 或 `SELECT ... INTO OUTFILE`)写进去的。删了又出现,说明攻击者手里还抓着数据库的连接权限,或者系统里留了持续运行的进程/计划任务。 建议你尽快按下面的顺序处理: 1. **立即断开 MySQL 的对外端口**:如果 MySQL 没必须对外公开,先关掉防火墙的 3306 端口,或者用 iptables 只允许本地访问,避免攻击者继续写入。 2. **检查 MySQL 用户和权限**:`SELECT user, host, authentication_string FROM mysql.user;` 看看有没有异常用户(特别是 `%` 远程用户)。立刻修改 root 密码为强密码(建议 32 位以上字母+数字+符号),并且删除所有非必要的远程访问用户。 3. **开启 MySQL general log**:临时开启 general log 记录所有 SQL 操作,`SET GLOBAL general_log = ON;`(日志会变大,用完关闭),然后去看日志里是哪台 IP、哪个用户、什么操作在创建表或者写
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-7 06:49 , Processed in 0.032803 second(s), 21 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部