zabbix数据库溯源
0x00 背景
zabbix数据库如果密码泄露被登录并新增管理员如何快速发现?并进行溯源?
本文介绍数据库本身未开启access log的情况。
0x01 实践
Mysql 数据库查insert
SELECT * FROM `sys`.`host_summary_by_statement_type` where statement like '%insert%'
查询数据库用户登录源ip限制
SELECT User, Host FROM mysql.user;
查询跟zabbix数据库相关的insert操作的语句和执行时间
SELECT * FROM `sys`.`x$statement_analysis` where query like '%INSERT INTO `zabbix`%'
查询当前正在执行的查询和用户信息
SELECT * FROM information_schema.PROCESSLIST;
0x02 加固措施
1.应禁止用户Admin从所有地址在zabbix数据库中的zabbix.users表上执行插入操作
REVOKE INSERT ON zabbix.users FROM 'Admin'@'%';
FLUSH PRIVILEGES;
2.启用本地墙,入站白名单。