关键时刻 mysql 被黑了，想问下黑客攻击的时机究竟有没有什么说法

脚本触发？

公网就是这样的，有人放脚本出来扫端口，跟你说的那些关系都不大
我之前自己有台 ECS 上跑中间件，也被黑过，不过好在我只是拿来玩玩的

纯粹看运气吧，每天都有无数的人/机构在扫描，目的都各不相同，有的被黑了就是在当肉鸡，有的在挖矿，有的被勒索，有的被黑了不暴露在后台偷数据，有的时候甚至能同时被几波人黑进去，有的黑了你后还会帮你补漏洞。。

@cdlnls #3 怎么这么巧呢

@lcy630409 #1 意思是之前就已经在我们这儿装好了病毒脚本，就等我们操作？

弱密码吗

哥们，你数据库，端口暴露到公网，被黑是太正常的事情。

一些经验：

1.能暴露到公网，只能是 VPN 端口，而且必须是证书登录 + 白名单访问模式，也就是只能针对你常用 IP 开白名单，其他 IP 一律 DROP 。

2.Linux 必须装 fail2ban ，Windows 必须装 wall2ban ，参数保持默认即可，这玩意有时候能救命。

3.数据库这种端口，只能在内网开放。如果需要访问数据库的机器的肉身，与数据库不在一起，那么应该通过 VPN 组建虚拟局域网。

4.数据库一定要做备份，备份服务器对数据库使用 pull 模式，从数据库进行主动拉取，就算有内鬼黑了数据库，至少还有备份。

基本上就是运气。
三个月相安无事，基本上算长的。
扫描到算数。没扫描到就是命大。
所以一般都是保持尽量小的权限。

mysql 三个月更新了吗

可能与黑你的方式有关。比如已经把恶意指令写到了你的 bashrs 里，自然要你登陆上去才会触发。

开 ip 白名单，不要嫌麻烦。

关键是怎么黑的呢，下次注意，不会是什么 0day 漏洞吧。

确实可能和 #10 有关。破解了你的数据库但是用户没有破解，只能等你触发。

可能就像网页点击攻击吧，管理员只有登录的时候，才会触发自动执行的恶意脚本，恶意脚本早已上传到网站后台了。

数据库必须用 IP 白名单来保护。

@Jirajine 都能写文件了，一万种方式执行脚本。。

应该是触发了

目测纯粹的巧合多一些

我们前段时间被黑了一次, 那天正好是全公司一起出去搞活动了, 没人看着设备, 回来发现服务器重启了, 一个叫"Windows"的用户正在操作, 给我们干懵了, 我都怀疑是不是有内鬼把公司的活动时间泄露出去了

1 防火墙，生产环境会涉及不同机房之间通过公网访问，配置好防火墙规则就行，只允许指定 IP 访问
2 做好 1 就够了

就算公开,还有账号秘密这个"防御策略"。
怎么泄露的 不晓得。

我以前为了方便自己,自己服务器 公司服务器数据库都是公开的,也没见被黑。

@laminux29 只允许密钥登录还需要这个 fail2ban
吗？

其实正常来说，及时更新组件版本，不要用弱口令，固定、重要业务白名单访问就已经够用了。
例如 ssh ，可以仅公钥登录，而 mysql 这些的数据库，确实没必要放公网，要么就只允许本地登录。
至于 0day 这块，可以考虑整个开源的 waf ，被 0day 打了，绕 waf 了那说明打你的价值比漏洞高，那自己对安全这块自然而然就需要增加投入。
养成良好习惯，按着规范来，就不怕被黑了。

@WoneFrank 描述不清楚，ssh 用私钥登。

如果是租的 VPS 就同路由同内网下相邻的机子扫的，压根没有隔离，无数重放攻击，记一下 assess IP 就看到了，说的就是腾讯轻量云

@jadeborner 当然要。

@laqow 同一个腾讯云账号下且同一个大区下的轻量，内网才有可能是通的 ，你这情况 多半情况是卖家把他其中一台轻量给你用了 但另一台轻量给别人用了 别人做了扫描 ，影响到你了

@root0day8004 实际上同网段内网全通的，随便监听一下网卡隔壁发的什么请求都能看到

@laqow 不太可能吧，大厂肯定有做隔离，不同账户里机器内网才能互通

只有同账户里机器内网才能互通