Existe algo como logs mysql para determinar se algo foi acessado / atualizado / removido. Minha conta foi comprometida e parece que somente os scripts de spam foram enviados.
Alterei todas as senhas e instalei uma detecção de força bruta. (Eu não sei como eles brutam forçaram minha senha para começar)
Sim, se configurado assim.
Manual > > 5.2. Logs do servidor MySQL
Se o registro binário foi configurado, você pode ver praticamente qualquer atividade que tenha alterado os dados e também reproduzir até certo ponto. Poderia ser útil se houvesse um tipo de ataque de injeção de SQL.
Mas, considerando a pergunta, não estou familiarizado com a administração do MySQL e, portanto, sugiro que você tente encontrar alguém para ajudá-lo.
O que foi comprometido? Era uma conta de shell com privilégios estendidos ou mysql? Você acha que precisa preservar evidências para uma investigação ou está apenas tentando voltar à Internet o mais rápido possível? Se fosse o mysql, o primeiro passo que eu tomaria é impedir o acesso externo, definindo o abaixo em my.cnf. Depois de ter isso, você pode começar a fazer um balanço da situação.
bind-address = 127.0.0.1
Se você está preocupado com as mudanças no mysql, então uma maneira muito simples é fazer um mysqldump do banco de dados a partir de agora e compará-lo com um no seu backup externo antes do comprometimento. Será bastante detalhado, mas deve destacar as mudanças em você.
Até onde eu sei, o mysql só registra mudanças se você o tiver configurado no modo de depuração, mas isso é lento e detalhado e não é recomendado.
Se você suspeitar que sua conta shell foi comprometida, sugiro que você examine cuidadosamente o / etc / passwd / etc / group etc e então inicie o processo de criação de um ambiente mais seguro e transferindo sua aplicação para ele (há muito post mais longo exigido sobre isso que eu não sou capaz de fazer agora, mas tenho certeza que alguém será capaz de ajudar).