2024网络信息安全应急响应数据库应急手册

应急响应培训数据库应急常见数据库计数据表明，在所安全事害25%,

技术错误占 员作案占10%，

仅有3%左右是由外部不法人员的攻击造管理方面的原因比重高达70数据库检查项1、数据库排查流程数据库检查通用流程：1）确定数据库类型及版本2）数据库是否未授权访问3）检查数据库账号安全(弱口令、可疑账号)4）检查用户连接登录情况(用户名、角色、创建日期、最近登录日期、登录失败)5）数据库语句执行历史(系统命令执行，数据篡改等)6）数据库是否泄露数据(数据库文件有无访问拷贝,是否有数据导出命令，是否有大量查询)7）数据库日志检查（日志类型,存放目录）8）数据库漏洞检查（提权，代码执行）常见的数据库攻击包括未授权访问、弱口令、SQL注入、提升权限、代码执行、窃取备份等。2、mssql

排查计数据表明，在所安全事害25%,

技术错误占 员作案占10%，

仅有3%左右是由外部不法人员的攻击造管理方面的原因比重高达70数据库版本确定：2、mssql

排查检查数据库账号安全(弱口令、空口令、可疑账号)：用客户端直接连接服务器而未进行身份验证(空密码)登录成功可咨询管理员用客户端连接后尝试简单的用户密码或默认密码的登录2、mssql

排查计数据表明，在所安全事害25%,

技术错误占员作案占10%，

仅用户及连接登录情况：1、查看用户最后一次登陆时间：select

loginname,accdate

from

sys.syslogins2、查看客户端的连接：Select*

from

sys.dm_exec_connections有3%左右是由外部不法人员的攻击造管理方面的原因比重高达702、mssql

排查计数据表明，在所安全事害25%,

技术错误占员作案占10%，

仅查看当前用户的执行：sp_who

'sa'

或sp_who

'WIN-S8BL8USPTOG\Administrator'有3%左右是由外部不法人员的攻击造管理方面的原因比重高达702、mssql

排查计数据表明，在所安全事害25%,

技术错误占员作案占10%，

仅日志功能配置：启用日志记录功能，默认配置仅限失败的登录，修改为失败和成功的登录，这样就可以对用户登录进行审核。有3%左右是由外部不法人员的攻击造管理方面的原因比重高达702、mssql

排查计数据表明，在所安全事害25%,

技术错误占员作案占10%，

仅存储过程查看日志：execxp_readerrorlogexec

sys.sp_readerrorlog有3%左右是由外部不法人员的攻击造管理方面的原因比重高达703、mysql

排查计数据表明，在所安全事害25%,

技术错误占员作案占10%，

仅showvariables

like

'log'; 查看查询日志是否开启有3%左右是由外部不法人员的攻击造管理方面的原因比重高达703、mysql

排查利用shell命令进行简单的分析：#有哪些IP在爆破：grep

"Accessdenied"mysql.log

|cut

-d"'"-f4|uniq-c|sort

-nr#爆破用户名字典都有哪些：grep

"Access

denied"mysql.log|cut

-d"'"

-f2|uniq-c|sort

-nr4、其他数据库排查Oracle数据库日志路径日志默认路径：%ORACLE%/rdbms/log非默认路径时执行语句SQL>showparameter

dump_dest得出background_dump_dest的值为日志路径PostgreSQL数据库日志路径日志路径：Linux：/var/log/progresql/Widnows：%progresql%\log\Redis数据库日志路径Linux：/var/log/redis/redis.logWindwos：%redis%/log/redis.logmon