MySQL 5.5 Community Server MySQL 5.6 Community Server Percona Configuration Wizard XtraBackup 搭建主从复制 Great Sites on MySQL Percona MySQL Performance Blog Severalnines 推荐管理工具 Sequel Pro phpMyAdmin 推荐书目 MySQL Cookbook
MySQL 相关项目 MariaDB Drizzle 参考文档 http://mysql-python.sourceforge.net/MySQLdb.html
MySQL 相关项目 MariaDB Drizzle 参考文档 http://mysql-python.sourceforge.net/MySQLdb.html 
这是一个创建于 2046 天前的主题,其中的信息可能已经有所发展或是发生改变。
一台存数据的 mysql 服务器,版本是 5.7.30 ,然后看日志每分钟有十多条连续的登录失败记录,
类似这样: 2020-05-18T13:22:49.608114+08:00 2278 [Note] Access denied for user 'xxxx'@'localhost' (using password: NO)
问题是 mysql 中没有这个 xxx 账户,而且它是从本机 localhost 尝试登录,没有使用密码。
请问各位大佬有什么思路能够定位这个登录请求是哪个程序发起的。
我已经把没用的服务都停止了,crontab 定时任务也都清除了,看其他进程也没有啥可疑的,找了好久了,请问有没有什么解决方法?
第 1 条附言 2020-05-18 17:13:16 +08:00
谢谢各位给的思路,好像查到了是谁引起的了。
先使用 watch -n 1 netstat -ant 动态观察所有连接,然后一个一个停,观察 mysql 日志的报错信息。
最后停到就剩一些基本的 zabbix_agent 监控有很多进程,关掉之后果然日志不报错了。
查看了 zabbix 的配置,发现有人配了监控 mysql 状态的指令,这样使得服务端 zabbix 每几分钟都要尝试登录 mysql 。
把配置还原之后就没问题了。确实跟 navigate 那种原理差不多,有程序被远程调用了。因为和正常的 zabbix_agent 进程混在一起,不好找出来。果然最后还得排除大法。
最后感谢各位的解答。
先使用 watch -n 1 netstat -ant 动态观察所有连接,然后一个一个停,观察 mysql 日志的报错信息。
最后停到就剩一些基本的 zabbix_agent 监控有很多进程,关掉之后果然日志不报错了。
查看了 zabbix 的配置,发现有人配了监控 mysql 状态的指令,这样使得服务端 zabbix 每几分钟都要尝试登录 mysql 。
把配置还原之后就没问题了。确实跟 navigate 那种原理差不多,有程序被远程调用了。因为和正常的 zabbix_agent 进程混在一起,不好找出来。果然最后还得排除大法。
最后感谢各位的解答。
 | 1 yemoluo 2020-05-18 13:54:19 +08:00 还有一种 navicat 等工具用 ssh 方式登录主机然后再连接 mysql 的 |
 | 2 msg7086 2020-05-18 15:19:17 +08:00 via Android 有尝试行为的时候用 netstat 看看有没有可疑连接。 |
 | 3 fensou 2020-05-18 16:18:38 +08:00 via iPhone webshell,和 ssh 跳转两种可能 |
 | 4 star7th 2020-05-18 16:24:04 08:00 可以尝试这么一个思路。停止 mysqk,用一个代理软件代理 mysql 的端口。看看访问日志能不做找出线索。 |
 | 5 julyclyde 2020-05-18 16:39:10 +08:00 |
| 7 star7th 2020-05-18 16:42:25 +08:00 写错,是,原来的 3306 被代理程序监听并转发到 3309 |
| 8 julyclyde 2020-05-18 16:50:15 +08:00 @star7th 首先,原 po 提问的问题是遇到了 localhost 过来的错误登录。mysql 里 localhost 和 127.0.0.1 可不是同一个概念 其次,用代理监听再转发会导致“源 IP”变化,mysql 语境下这种变化会导致登录的其实是另一个用户 |
 | 9 jimrok 2020-05-18 16:55:56 +08:00 了解一下 lsof 命令,可以找到跟 3306 端口连接的进程名字和 pid |
 | 10 yc8332 2020-05-18 17:09:00 +08:00 netstat 查一下连接 3306 的 ip 地址和进程 |
| 11 msg7086 2020-05-18 22:23:43 +08:00 via Android @julyclyde MySQL 只有在连接的时候 localhost 才不是一个概念。服务器端走 TCP 127.0.0.1 连接的时候还是会解析到 localhost 主机用户条目的。 另外我说用 netstat 主要是要看有没有人远程连上本地服务以后跳板尝试密码,不是为了看程序间的连接。 |
| 13 msg7086 2020-05-19 14:10:31 +08:00 @julyclyde 当然连不上了。 我说的是「只有在连接的时候,localhost 才不是一个概念」。 然后你跟我说能不能连上。 我寻思着这不是重复一遍我的观点嘛。 localhost 的特殊处理是来自 libmysqlclient,又不是来自 MySQL Server 。 你客户端连不连得上,管服务器上的账号验证何事。 你自己开个测试机,自己运行一下 mysql -h 127.0.0.1,看看 Access denied 后面写的到底是 [email protected] 还是 root@localhost 。 |
| 15 msg7086 2020-05-19 14:35:14 +08:00 |
| 16 julyclyde 2020-05-19 16:46:07 +08:00 |
| 17 julyclyde 2020-05-19 16:46:35 +08:00 不过我之前说的“你说的这个场景下当然是 127 了”确实是错了。我再研究一下原因 |
Select Language