如何确定谁正在尝试访问MySql

当我检查我们的BSD服务器上的mysql查询日志时，我看到，一次又一次地重复：

• 111123 8:23:11 4478拒绝用户'Neohoo'@'localhost'的连接访问（使用密码：是）

• 4479拒绝用户“root”@“localhost”的连接访问（使用密码：否）

我通过添加跳过网络选项并重新启动mysql来关闭外部访问：

cat/etc/my.cnf

• [mysqld]

• //MySQL服务器

• 跳过innodb

• 最大连接数=30

• 跳过网络

• 设置变量=局部填充=0

并由以下人员验证：

telnet bsdServer.com 3306 telnet:无法连接到远程主机

MySql与遗留PHP应用程序一起使用。我认为这可能是SQL注入攻击，但我无法确定程序的哪个部分。mysql查询日志不显示IP地址或任何更有用的数据

如有任何建议，我们将不胜感激

我通过添加跳过网络选项来关闭外部访问

但是这些用户是从本地主机连接的，即不是通过网络连接的

mysql查询日志不显示IP地址

是的，他们有：

• 111123 8:23:11 4478拒绝用户“Neohoo”@“localhost”的连接访问（使用密码：是）

计算机上运行的某个客户端正在尝试连接

---

如果这台机器运行的是PHP Web服务器，特别是面向internet的服务器，则很可能存在PHP代码注入问题。尝试将日志项上的时间戳与Web服务器访问日志交叉引用。如果您的机器上有mysql客户端，请确保您的Web服务器uid无法运行它。

它来自本地主机--它们已经在您的服务器上，关闭网络不会有多大影响。如果我错了，请纠正我——但是SQL注入攻击可能来自可信连接。@马特·芬威克：不确定可信连接是什么意思-但它与SQL注入攻击的来源无关-而且SQL注入攻击不会创建MySQL连接-它滥用了现有的内容。@symcbean——这就是我想说的，你的措辞好多了。谢谢大家。看来我需要学习PHP代码注入。