有MySQL连接洪流之类的东西吗？

Question

我是一个小网站的开发者。有3个are服务器(用于负载平衡)和一个MySQL服务器。

今天，网络服务器似乎瘫痪了，不幸的是，我无法找到管理员(他在一个不同的时区，可能睡着了)。但是我确实有一些更高的权限，所以我可以通过MySQL (在MySQL服务器上本地运行)作为完全权限管理员连接到MySQL服务器。

在那里，我在SHOW PROCESSLIST结果中看到了一些奇怪的东西。有超过500个连接来自“未经身份验证的用户”和命令"Connect“。这些连接来自我们拥有的三台we服务器中的两台(我认为)。基本上他们是在尝试连接，但并不是真正的连接。

像这样已经有5个小时了。MySQL服务器对此很满意，甚至没有放慢速度，这让我怀疑这是否是一次攻击。此外，如果攻击者控制了服务器，他就可以在PHP源代码文件中找到相关的密码。

那么-这是一次攻击吗?在管理员到来之前，我还能做些什么吗？(我没有服务器根目录，只有MySQL管理权限)

更新:我写的用户名不正确。它不是“匿名用户”，而是“未经身份验证的用户”。

更新2:好的，管理员刚刚醒来。谢谢你的帮助!

Answer 1

MySQL包括一个匿名用户帐户，允许任何人在没有用户帐户的情况下连接到MySQL服务器。这仅用于测试，在将数据库服务器放入生产环境之前应该删除。

如果配置正确，除了web前端之外，IP甚至不应该访问MySQL服务器(旁白:如果它是个小站点，为什么需要这么多服务器？)

这更可能是配置/代码问题，而不是安全问题。无论如何，我的建议是尽量收集和记录更多的信息(

• 是什么让你认为这些连接是来自网络前端的？
• 用户正在访问哪些数据库？
• 正在运行哪些查询？
• 连接来自哪个IP？

)尽可能地了解系统发生了什么，并继续尝试唤醒您的管理员。

Answer 2

匿名用户可能被网站应用程序用来访问后端数据库，在这种情况下，500个连接中的每一个都可能代表到站点的单个web连接。如果网站很小，500个同时连接就足以使其崩溃，因此它可能表示拒绝服务的情况。这可能是一次攻击，也可能是由于您的网站出乎意料地受欢迎。

事实是，除非你有某种基线，否则你无法真正判断500个连接是正常的还是异常的，所以根本无法百分之百地回答这个问题。

要从中删除的一个操作是开始收集度量标准，如站点连接、SQL连接等，这样您就可以知道什么是正常的，什么是不正常的。

Answer 3

我不知道这是什么原因--其他用户也提出了一些建议，但如果我是你，我会先看看这个流量的来源--客户端是什么(我指的是web服务器上的程序--而不是主机)？是它应该尝试的东西，还是你有漏洞？网络服务器上的流量简介是怎么回事？您在the服务器文件上运行IDS扫描吗？