mysql数据库远程连接空密码也能进入漏洞检测bug排查(漏洞扫描出来mysql弱密码口令)

咸鱼都能看懂的代码2024-10-14 17:44

最近漏洞扫描出来mysql弱密码口令,以为是密码问题,修改后仍然不行,检测仍有漏洞。

结果发现在b服务器可以直接远程连接a的服务器,我甚至密码都没输入!!!

复制代码 
mysql -u root -h 172.*.*.* -P 3306

直接进入mysql了,再排查了一切可能,最后锁定在了匿名账户

不知道什么时候创建了两个匿名帐户

复制代码 
+------+---------------+-----------------------+
| User | Host          | plugin                |
+------+---------------+-----------------------+
|      | %             | mysql_native_password |

删除这个匿名帐户即可,因为这个匿名帐户会允许所有的ip进入

复制代码 
DROP USER ''@'%';

刷新权限

复制代码 
FLUSH PRIVILEGES;

这样再进行无密码登录,就登陆不了。

相关推荐
切糕师学AI几秒前
DBeaver + PostgreSQL 中的 Global Backup 和 Backup 的区别?
数据库·postgresql·dbeaver
繁星星繁2 分钟前
【Mysql】数据库基础
android·数据库·mysql
ttthe_MOon3 分钟前
MySQL 基础:索引的定义与作用
数据库·mysql
心动啊12125 分钟前
简单学下chromaDB
开发语言·数据库·python
妮妮喔妮35 分钟前
redis热点key拆分和读多副本
数据库·redis·缓存
雪球不会消失了43 分钟前
MySQL(开发篇)
数据库·mysql·oracle
qq_348231851 小时前
Redis 事务(MULTI/EXEC)与 Lua 脚本的核心区别
数据库·redis·lua
whn19771 小时前
寻找listener.log
数据库
代码游侠1 小时前
学习笔记——文件I/O
linux·数据库·笔记·学习·算法
热门推荐
01GitHub 镜像站点02【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)03UV安装并设置国内源04安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)05React CVE-2025-55182漏洞排查与修复指南06Linux下V2Ray安装配置指南07BongoCat - 跨平台键盘猫动画工具08【AutoGLM部署】本地私有化部署AI手机Agent09解决 WSL Ubuntu 中 /etc/resolv.conf 自动重置问题10在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)