全球主机交流论坛

标题: 论坛数据库被莫名删除一条记录，纠结，求高手分析 [打印本页]

作者: 盖茨他爹 时间: 2010-11-24 11:44
标题: 论坛数据库被莫名删除一条记录，纠结，求高手分析
虽然只是被无恶意的删除一条记录，但作为管理员还是很纠结，这意味着：我的服务器不安全了，哪个环节出的问题呢？该如何入手补救呢？

先说下事情的来龙去脉，在论坛上一个性情古怪的会员发了个不受待见的话题，结果受到很多其它会员的口诛笔伐，楼层越盖越高，估计是那个楼主有点受不住了，他没有危及公关的经验啊，其实这种帖子想让它沉下去很容易，自己把标题改成一个.号，以后基本上就没人再回了。

今天早上突然发现，那个帖子不见了，Discuz的论坛系统，我查后台删帖记录，没有！查道具使用记录，没有！这意味着帖子被非正常删除了。

用phpmyadmin查了一下数据库，果不其然，只删除了cdb_threads里面的记录，cdb_posts里面的记录都还在，更印证了不是通过操作论坛删除的，而是直接操作的数据库

他怎么操作的数据库呢？破解了服务器密码？我查看了一下登陆日志(用who /var/log/wtmp命令)，只有我自己的登录记录，只记录了我的IP，听说/var/log/wtmp文件可以修改，是不是他登录服务器然后把登录记录给删除了？

想查一下mysql操作记录，貌似没有，我用的myisam引擎

纠结死了，好像知道自己家里被人放了一颗炸弹，却不知道在什么地方，炸弹什么时候会爆炸。请有经验的高手支支招，该从哪里寻找蛛丝马迹？

作者: cnweb 时间: 2010-11-24 11:45
恢复

作者: Globalization 时间: 2010-11-24 11:46
什么程序什么版本的？DZ的会员可以自己删除自己的帖子的

作者: 盖茨他爹 时间: 2010-11-24 11:49

原帖由 Globalization 于 2010-11-24 11:46 发表
什么程序什么版本的？DZ的会员可以自己删除自己的帖子的

确定不是通过DZ程序删除的，DZ程序删除会一并删除所有跟那个帖子有关的回复，不留任何数据垃圾，但这个只删除了帖子的标题，也就是cdb_threads表的记录，并没有删除cdb_posts表的记录

作者: zllovesuki 时间: 2010-11-24 11:50
一句话木马，解答完毕

作者: cmlz 时间: 2010-11-24 11:54
什么类型主机？

作者: Administrator 时间: 2010-11-24 11:56
提示: 作者被禁止或删除内容自动屏蔽

作者: 盖茨他爹 时间: 2010-11-24 11:56

原帖由 cmlz 于 2010-11-24 11:54 发表
什么类型主机？

debian的vps

作者: 盖茨他爹 时间: 2010-11-24 11:57

原帖由 Administrator 于 2010-11-24 11:56 发表
帖子有没有涉及到利益或者隐私

没多大利益冲突，就是那个帖子的LZ被骂的很惨

作者: 卡恩 时间: 2010-11-24 12:54
PM下网址
DZ有漏洞，可以直接操作数据库的。

作者: winsock 时间: 2010-11-24 12:55
看下他IP，搜下这个IP在webserver日志访问过的路径

作者: adochina 时间: 2010-11-24 12:57
这个可以有~~

[ 本帖最后由 adochina 于 2010-11-24 12:58 编辑 ]

作者: wdlth 时间: 2010-11-24 12:57
打包论坛程序，扫看有没有木马。

作者: cmlz 时间: 2010-11-24 13:00
MYSQL难道没有生成日志文件？

作者: 盖茨他爹 时间: 2010-11-24 13:06

原帖由 winsock 于 2010-11-24 12:55 发表
看下他IP，搜下这个IP在webserver日志访问过的路径

谢谢，我这就试试

作者: 盖茨他爹 时间: 2010-11-24 13:10

原帖由 cmlz 于 2010-11-24 13:00 发表
MYSQL难道没有生成日志文件？

我不会查啊

是不是ib_logfile0、ib_logfile1这两个，还是master-bin.000001？
我用mysqlbinlog master-bin.000001只得到了下面这点信息

/*!40019 SET @@session.max_insert_delayed_threads=0*/;
/*!50003 SET @OLD_COMPLETION_TYPE=@@COMPLETION_TYPE,COMPLETION_TYPE=0*/;
DELIMITER /*!*/;
# at 4
#010620 1:55:55 server id 2 end_log_pos 76 Start: binlog v 2, server v 4.0.0-debug-log created 010620 1:55:55 at startup
ROLLBACK/*!*/;
# at 79
#010620 1:56:06 server id 2 end_log_pos 0 Stop
DELIMITER ;
# End of log file
ROLLBACK /* added by mysqlbinlog */;
/*!50003 SET COMPLETION_TYPE=@OLD_COMPLETION_TYPE*/;

作者: cmlz 时间: 2010-11-24 13:30
标题: 回复 16# 的帖子
1. 首先确认你日志是否启用了
mysql>show variables like 'log_bin';
如果启用了，即ON
那日志文件就在mysql的安装目录的data目录下
cat/tail 日志文件名

2. 怎样知道当前的日志
mysql> show master status;

3. 查看从某一段时间到某一段时间的日志
mysqlbinlog --start-datetime='2010-11-20 00:00:00' --stop-datetime='2010-11-25 00:00:00' /var/log/mysql/mysql-bin.000006 > mysqllog1.log

作者: 盖茨他爹 时间: 2010-11-24 15:15

原帖由 cmlz 于 2010-11-24 13:30 发表
1. 首先确认你日志是否启用了
mysql>show variables like 'log_bin';
如果启用了，即ON
那日志文件就在mysql的安装目录的data目录下
cat/tail 日志文件名

2. 怎样知道当前的日志
mysql> show master status;

3. 查看 ...

谢谢，原来没启用，现在已用提供的方法开启日志，每天做好备份，等待下次出现蛛丝马迹

作者: Captain 时间: 2010-11-24 22:13
楼主开启了论坛道具么

购买“悔过卡”删除帖子的话

是没有任何删帖记录滴~~

作者: Captain 时间: 2010-11-24 22:15
如果是DZ论坛，直接查下发帖者购买和使用道具的记录，就真相大白了

欢迎光临全球主机交流论坛 (https://loc.1226.eu.org/)