812 325 01 02
Санкт-Петербург (центральный офис)
495 609 03 32
Москва
 


Форум компании Ритм
Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1
RSS
В БД вирус (червь)
Не подскажете, как проверить свою БД на предмет заражения?
Проверить просто - если порт БД TCP3306 открыт в интернет - вы уже потенциальная жертва.
Проверка порта: telnet внешнийадрессервера 3306
Если есть приветствие аналогично
Рисунок
то значит нужно порт TCP3306 закрыть (проверить можно также подключившись MySQL Administrator или другой программой).

Как только закрыли порт, нужно проверить наличие вирусов в БД. Подключитесь к БД MySQL Administrator и смотрите на таблицы БД mysql (не путайте с БД contact или БД voyager). Не должно быть таблиц с типом InnoDB в БД mysql (не путайте с БД contact или БД voyager). Пример корректного набора таблиц.
Рисунок
Здравствуйте! Подскажите пожалуйста, это действительно вирус? Как с этим бороться? Порт 3306 закрыт.
Время;Модуль сканирования;Тип объекта;Oбъeкт;Bиpуc;Дeйcтвиe;Пoльзoвaтeль;Информация;Хэш;Первое появление здесь
25.05.2017 17:07:58;Фильтр HTTP;файл;http://162.209.168.60:8080/hjsdai.exe;модифицированный Win32/ServStart.D червь;соединение прервано;NT AUTHORITY\система;Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\MySQL\MySQL Server 5.1\bin\mysqld.exe (1FACF69CC70E71CEB22882DAF686890BC8DC0AAD).;5536A89AC22D97D29E39B48FA514149C5B3BE1B5;
29.05.2017 12:56:46;Защита в режиме реального времени;файл;C:\Program Files (x86)\MySQL\MySQL Server 5.1\lib\plugin\bfbfx.dll;Win32/Agent.WLJ троянская программа;очищен удалением;NT AUTHORITY\система;Событие произошло в новом файле, созданном следующим приложением: C:\Program Files (x86)\MySQL\MySQL Server 5.1\bin\mysqld.exe (1FACF69CC70E71CEB22882DAF686890BC8DC0AAD).;D3E22D67D3AC5A71CA83FF2145082D2F89A34BB8;29.05.2017 12:56:44
Если антивирус говорит такое - см http://www.ritm.ru/forum/?PAGE_NAME=m...essage4845
Для тех, кто не закрыл порт БД (TCP3306) в интернет новая напасть. Кроме вирусов БД ещё и шифруют и вымогают деньги за расшифровку.
Алгоритм действий такой же как и раньше: закрыть порт БД снаружи, вылечить ПК от вирусов (возможно с форматированием диска), восстановление БД из резервной копии.
Рисунок
А что делать с таблицами с типом InnoDB в БД mysql если они уже присутствуют при установке?
Цитата
Вячеслав Рожко пишет:
А что делать с таблицами с типом InnoDB в БД mysql если они уже присутствуют при установке?

Сам по себе тип таблиц ни о чём плохом не говорит. Если вы используете MySQL из дистрибутива с PCN6 или PCN8, значит системная БД MySQL (не contact и не voyager) имеет таблицы только с типом myisam. Если MySQL установлен самостоятельно, то тип таблиц БД MYSQL (не contact и не voyager) может быть различным.
Это Образ виртуальной машины с GEO.RITM Special Edition 2.20.
Список таблиц БД MySQL из ВМ:
Рисунок
Так и есть.
Страницы: 1