mysql数据库远程连接空密码也能进入漏洞检测bug排查(漏洞扫描出来mysql弱密码口令)

最近漏洞扫描出来mysql弱密码口令,以为是密码问题,修改后仍然不行,检测仍有漏洞。

结果发现在b服务器可以直接远程连接a的服务器,我甚至密码都没输入!!!

复制代码
mysql -u root -h 172.*.*.* -P 3306

直接进入mysql了,再排查了一切可能,最后锁定在了匿名账户

不知道什么时候创建了两个匿名帐户

复制代码
+------+---------------+-----------------------+
| User | Host          | plugin                |
+------+---------------+-----------------------+
|      | %             | mysql_native_password |

删除这个匿名帐户即可,因为这个匿名帐户会允许所有的ip进入

复制代码
DROP USER ''@'%';

刷新权限

复制代码
FLUSH PRIVILEGES;

这样再进行无密码登录,就登陆不了。

相关推荐
胚芽鞘68140 分钟前
关于java项目中maven的理解
java·数据库·maven
nbsaas-boot2 小时前
Java 正则表达式白皮书:语法详解、工程实践与常用表达式库
开发语言·python·mysql
sun0077004 小时前
mysql索引底层原理
数据库·mysql
程序员秘密基地4 小时前
基于html,css,vue,vscode,idea,,java,springboot,mysql数据库,在线旅游,景点管理系统
java·spring boot·mysql·spring·web3
workflower7 小时前
MDSE和敏捷开发相互矛盾之处:方法论本质的冲突
数据库·软件工程·敏捷流程·极限编程
叁沐7 小时前
MySQL 11 怎么给字符串字段加索引?
mysql
Tony小周7 小时前
实现一个点击输入框可以弹出的数字软键盘控件 qt 5.12
开发语言·数据库·qt
lifallen7 小时前
Paimon 原子提交实现
java·大数据·数据结构·数据库·后端·算法
TDengine (老段)8 小时前
TDengine 数据库建模最佳实践
大数据·数据库·物联网·时序数据库·tdengine·涛思数据
Elastic 中国社区官方博客8 小时前
Elasticsearch 字符串包含子字符串:高级查询技巧
大数据·数据库·elasticsearch·搜索引擎·全文检索·lucene