MS SQL Server/MySQL/Oracle日志提取和安全分析
一、MS SQL Server日志分析:
1.MS SQL Server資料庫簡介:
Microsoft SQL Server,是微軟推出的關系型資料庫解決方案(Relational Database Management System:RDBMS),使用方便,可伸縮性好,且與相關軟體集成程度高等優點,因而被廣泛使用,
Microsoft SQL Server的特點:圖形化操作、管理,上手容易,維護效率高,是最受歡迎的商業資料庫之一,可跨越從運行Microsoft Windows 98 的膝上型電腦到運行Microsoft Windows 2012 的大型多處理器的服務器等多種平臺使用,
MS SQL Server默認啟用日志記錄功能,但是僅限失敗的登錄,因此,我們應修改記錄為"失敗和成功的登錄",如圖:
這樣,可對用戶的登錄行為進行審核,
2.MS SQL Server資料庫常見漏洞分析:
Microsoft SQL Server經典的漏洞型別: sp_replwritetovarbin遠程堆溢位漏洞(CVE-2008-5416)、Lyris ListManager MSDE SA弱密碼漏洞(CVE-2005-4145),
Microsoft SQL Server 影響范圍比較廣的漏洞型別有:緩沖區溢位漏洞、弱密碼、權限提升、拒絕服務、SQL注入等幾種,
xp_cmdshell,可讓人們以OS命令列解釋器的方式執行指定的命令字串并以文本行方式回傳任何輸出,是一個功能非常強大的擴展存貯程序,但后來此指令可以被用來提權,因此默認為關閉,
3.MS SQL Server的日志分析:
<1>.可通過SQL Server Profiler,查找和發現 SQL執行的效率和陳述句問題;
<2>.可結合Web Application Firewall (WAF)日志,通過查看日志檔案的大小,分析日志具體內容,綜合判斷DBMS是否遭遇SQL(sqlmap工具)注入漏洞的攻擊;
<3>.可借助第三方的工具(ApexSQL)來審計和分析MS SQLServer的日志.
二、MySQL日志分析:
1.MySQL資料庫簡介:
MySQL,由瑞典MySQL AB 公司開發,屬于 Oracle旗下產品中小型關系型資料庫管理系統,RDBMS,使用標準化SQL查詢語言;
MySQL資料庫的特點:體積小,速度快,總體部署成本低,性能優越,搭配php、perl、apache、tomcat,形成極佳的開發和集成環境,因此,世界著名,是目前世界上使用最為廣泛的資料庫之一;
2.MySQL資料庫常見漏洞分析:
MySQL SQL Injection、UDF/MOF提權,ROOT身份權限Bypass、Webshell Getshell、LPK劫持、遠程代碼執行RCE等漏洞,
3.MySQL日志分析:
<1>.查看log配置資訊指令:show variables like '%general%',日志檔案一般存盤格式為"主機名.log";
<2>在日志分析中,特別需要注意一些敏感的操作行為,比如:刪表、備庫,讀寫檔案(load_file、into outfile等相關讀寫執行函式)等,例如以下關鍵詞需要注意:drop table、drop function、lock tables、unlock tables、
load_file() 、into outfile、into dumpfile......
例如:WebShell攻擊:利用into outfile()函式寫入一句話木馬,拿webshell:
1' union select 1,"<?php @eval($_POST['cmd']);?>" into outfile 'C:\\phpStudy\\PHPTutorial\\WWW\\dvwa2019\\ana.php'#
<3>.mysql讀、寫檔案的配置:SHOW GLOBAL VARIABLES LIKE '%secure%' (當secure_file_priv值沒有具體值時,表示不對mysqld的匯入和匯出做限制),
三、Oracle日志分析:
1.Oracle資料庫簡介:
Oracle DBMS是一款是甲骨文公司的一款關系型資料庫管理系統,市場占有率高,在資料庫領域有極其重要的地位,是世界上流行的關系資料庫管理系統;
Oracle DBMS資料庫是世界上第一個支持SQL語言的關系型資料庫;
Oracle DBMS提供了豐富的包、存盤程序,具有支持Java運行和創建Librarry等開發功能,擁有豐富的系統表,幾乎所有的資訊都存盤在系統表;
Oracle廣泛應用于金融、郵電、電力、民航等資料吞吐量大,網路結構復雜的重要企業和機構;
常用版本:9i、10g、11g、12c、18c,
2.Oracle資料庫常見的漏洞分析:
在安全性方面,盡管Oracle制定了完善的安全策略,提供了詳盡的安全機制,但是隨著Oracle RDBMS新版本的不斷發布,新的問題依然層出不窮,例如:弱密碼問題,SID被猜解,SQL注入,權限配置不當、拒絕服務攻擊等安
全問題,
3.Oracle資料庫日志分析:
<1>.Oracle審計(Audit)和日志記錄,可記錄用戶對資料庫所做的操作,默認情況下,使用管理員權限連接實體(instance),開啟及關閉資料庫是會強制進行審計的,無論是否打開資料庫的審計功能(其它的基礎的操作則沒有
進行審計,),Oracle會將審計和Trace跟蹤結果(是否開啟審計記錄的功能),存放到OS檔案里,默認位置在:$ORACLE_BASE/admin/$ORACLE_SID/adump/ 或存盤在資料庫表里(存盤在system表空間中的SYS.AUD$表中,可通過
視圖dba_audit_trail查看),可使用"show parameter audit"命令查看相關設定,
<2>."show parameter audit_trail"指令(日志審計的設定)相關介紹:
audit_trail的設定值:
NONE:不開啟;
DB:開啟審計功能(Oracle11g后默認開啟,All audit records stored in the database audit trial (AUD$));
OS:審計記錄寫入一個作業系統檔案(AUDIT_FILE_DEST);
TRUE:與引數DB一樣;
DB_EXTENDED:審計結果放在資料庫表中,并額外記錄SQL_BIND和SQL_TEXT(具體執行陳述句);
FALSE:不開啟審計功能;
xml:啟用審計功能,審計資訊寫入xml格式的作業系統檔案中,
<3>.Oracle的其他審計型別:
陳述句審計(Statement Auditing):對特定的SQL陳述句進行審計記錄,不指定具體物件;
權限審計(Privilege Auditing):對特定的系統權限使用情況進行審計記錄;
物件審計(Object Auditing):對特定的模式物件上執行的特定陳述句進行審計記錄;
網路審計(Network Auditing):對網路協議錯誤與網路層內部錯誤進行審計記錄,
此外,根據用戶是否成功執行,可以分為:
對執行成功的陳述句進行審計;
對不成功的陳述句進行審計;
無論成功與否都進行審計,
根據對同一個陳述句審計次數不同,可以分為會話審計和存取審計,
會話審計:對某個用戶或所有用戶,同一陳述句,只審計一次,形成一條審計記錄;
存取審計:對某個用戶或所有用戶,同一陳述句,每執行一次就審計一次,形成多條審計記錄,
四、第三方資料庫審核記錄:
資料庫審計(DBAudit)可實時記錄網路上資料庫活動,對資料庫操作細粒度審計,合規性管理,對資料庫遭受到的風險行為、漏洞攻擊行為進行告警,對攻擊行為進行阻斷,
通過對用戶訪問資料庫行為,記錄、分析、匯報,事后生成合規報告,事故追蹤,溯源,加強內外部資料庫網路行為記錄,提高資料安全,
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/4969.html
標籤:Windows
上一篇:加速電腦開機關機速度
下一篇:任務欄簡化,讓你的任務欄更美觀!