mysql数据库远程连接空密码也能进入漏洞检测bug排查(漏洞扫描出来mysql弱密码口令)

最近漏洞扫描出来mysql弱密码口令,以为是密码问题,修改后仍然不行,检测仍有漏洞。

结果发现在b服务器可以直接远程连接a的服务器,我甚至密码都没输入!!!

复制代码
mysql -u root -h 172.*.*.* -P 3306

直接进入mysql了,再排查了一切可能,最后锁定在了匿名账户

不知道什么时候创建了两个匿名帐户

复制代码
+------+---------------+-----------------------+
| User | Host          | plugin                |
+------+---------------+-----------------------+
|      | %             | mysql_native_password |

删除这个匿名帐户即可,因为这个匿名帐户会允许所有的ip进入

复制代码
DROP USER ''@'%';

刷新权限

复制代码
FLUSH PRIVILEGES;

这样再进行无密码登录,就登陆不了。

相关推荐
运维行者_4 小时前
企业无线网络监控的挑战与智能化演进趋势
大数据·运维·服务器·网络·数据库
国强_dev5 小时前
技术探讨:使用 stunnel 加密转发数据库连接时,如何获取客户端真实 IP?
数据库·网络协议·tcp/ip
@insist1235 小时前
系统规划与管理师-信息系统规划核心工作要点解析
数据库·软考·系统规划与管理师·软件水平考试·系统规划与管理工程师
超级数据查看器5 小时前
超级数据查看器 v10.0 发布
java·大数据·数据库·sqlite·安卓
数安3000天5 小时前
增量数据如何自动分类分级,避免目录“过期“?
大数据·数据库
南墙上的石头6 小时前
麒麟 V10 重装人大金仓 V8R6 踩坑实录(含 MySQL 兼容模式)
数据库·mysql
画中有画7 小时前
论向量数据库在项目中的应用
数据库
spider_xcxc8 小时前
Redis 数据库高质量实践指南(一)
运维·数据库·redis·oracle·云计算
l1t8 小时前
在linux和windows中解决duckdb 1.6dev版本输出执行计划报错问题
linux·运维·数据库·windows·duckdb
执子手 吹散苍茫茫烟波9 小时前
RC 隔离级别下 MySQL InnoDB 死锁典型案例
数据库·mysql