0x00 背景

zabbix數據庫如果密碼泄露被登錄并新增管理員如何快速發現？并進行溯源？

本文介紹數據庫本身未開啟access log的情況。

0x01 實踐

Mysql 數據庫查insert

SELECT * FROM `sys`.`host_summary_by_statement_type` where statement like '%insert%'

查詢數據庫用戶登錄源ip限制

SELECT User, Host FROM mysql.user;

查詢跟zabbix數據庫相關的insert操作的語句和執行時間

SELECT * FROM `sys`.`x$statement_analysis` where query like '%INSERT INTO `zabbix`%'

查詢當前正在執行的查詢和用戶信息

SELECT * FROM information_schema.PROCESSLIST;

0x02 加固措施

1.應禁止用戶Admin從所有地址在zabbix數據庫中的zabbix.users表上執行插入操作

REVOKE INSERT ON zabbix.users FROM 'Admin'@'%';

FLUSH PRIVILEGES;

2.啟用本地墻，入站白名單。