mysql数据库远程连接空密码也能进入漏洞检测bug排查(漏洞扫描出来mysql弱密码口令)

最近漏洞扫描出来mysql弱密码口令,以为是密码问题,修改后仍然不行,检测仍有漏洞。

结果发现在b服务器可以直接远程连接a的服务器,我甚至密码都没输入!!!

复制代码
mysql -u root -h 172.*.*.* -P 3306

直接进入mysql了,再排查了一切可能,最后锁定在了匿名账户

不知道什么时候创建了两个匿名帐户

复制代码
+------+---------------+-----------------------+
| User | Host          | plugin                |
+------+---------------+-----------------------+
|      | %             | mysql_native_password |

删除这个匿名帐户即可,因为这个匿名帐户会允许所有的ip进入

复制代码
DROP USER ''@'%';

刷新权限

复制代码
FLUSH PRIVILEGES;

这样再进行无密码登录,就登陆不了。

相关推荐
IAtlantiscsdn10 分钟前
Redis Stack扩展功能
java·数据库·redis
没有bug.的程序员32 分钟前
Redis 大 Key 与热 Key:生产环境的风险与解决方案
java·数据库·redis·缓存·热key·大key
王维志32 分钟前
LiteDB详解
数据库·后端·mongodb·sqlite·c#·json·database
玉衡子41 分钟前
七、InnoDB底层原理与日志机制
java·mysql
2301_815357701 小时前
parameterType和@Param注解的区别
java·开发语言·数据库
零雲1 小时前
除了缓存,我们还可以用redis做什么?
数据库·redis·缓存
cyforkk1 小时前
MySQL 唯一约束:从基础到实战,解决数据重复的核心工具
数据库·mysql
不想被吃掉氩2 小时前
MySQL的事务特性和高可用架构
数据库·oracle
快乐肚皮2 小时前
SQL调优全攻略:从原理到实战
mysql
万添裁2 小时前
关系模型的数据结构
数据库