이번에 서버 해킹을 당해서 DB의 내용이 변조 됐습니다.
침입 흔적은 추적하던 중 /.mysql_history라는 파일이 최상위 루트에 있는 것을 발견하고 분석해본 결과 공격에 사용된 쿼리가 포함되어 있더군요.
덕분에 문제 해결의 실마리를 찾을 수 있었는데
문제는 .mysql_history의 위치입니다.
이 파일의 퍼미션이 root로 되어 있었는데
보통 root로 mysql client를 사용하면 /root/.mysql_history에 로그가 남는 것으로 알고 있는데 예측 못했던 위치에 있네요.
어떤 경우에 .mysql_history라는 파일이 /에 생성되는 것일까요?
|