mysql数据库远程连接空密码也能进入漏洞检测bug排查(漏洞扫描出来mysql弱密码口令)

最近漏洞扫描出来mysql弱密码口令,以为是密码问题,修改后仍然不行,检测仍有漏洞。

结果发现在b服务器可以直接远程连接a的服务器,我甚至密码都没输入!!!

复制代码
mysql -u root -h 172.*.*.* -P 3306

直接进入mysql了,再排查了一切可能,最后锁定在了匿名账户

不知道什么时候创建了两个匿名帐户

复制代码
+------+---------------+-----------------------+
| User | Host          | plugin                |
+------+---------------+-----------------------+
|      | %             | mysql_native_password |

删除这个匿名帐户即可,因为这个匿名帐户会允许所有的ip进入

复制代码
DROP USER ''@'%';

刷新权限

复制代码
FLUSH PRIVILEGES;

这样再进行无密码登录,就登陆不了。

相关推荐
tiancaijiben10 小时前
阿里云SSL证书自动续签与部署完全指南:从托管服务到开源工具全方案解析
数据库
全堆鸿蒙10 小时前
25 数据库设计与表结构规划:5 张表的设计思路
数据库·华为·cocoa·harmonyos
笃行35010 小时前
【金仓数据库产品体验官】_坏得起_实测:备份恢复、PITR 时间穿越与主备切换——KingbaseES V9R3C18 深度体验(三)
数据库
笃行35012 小时前
从兼容到进阶:驱动直连、窗口函数与动态 SQL 实测——KingbaseES V9R3C18 深度体验(二)
数据库
笃行35013 小时前
MySQL 的 JSON 字段迁到金仓还能用吗?——KingbaseES V9R3C18 JSON 操作符与函数兼容实测
数据库
IpdataCloud14 小时前
跨境AI金融风险怎么防?IP风险画像的实战应用指南
数据库·tcp/ip·金融·ip
Alan_7516 小时前
API 接口慢调用根因定位:从 TCP 建连到数据库 IO 的全栈排查实战
数据库
穷人小水滴16 小时前
(科幻) 备用肉身虫 (Backup Body Bug, BBB) 系列设定 (202607 更新)
aigc·bug·科幻
多巴胺梦想家16 小时前
事务与并发控制:当多人同时操作数据库
服务器·数据库·oracle