MySQL匿名用户(User=”)是默认安装后最危险的后门之一,可无需用户名和密码直接访问数据库,且常具高权限;需按顺序执行DELETE FROM mysql.user/db WHERE User=”; FLUSH PRIVILEGES清除,并检查IPv6及test库残留。
MySQL匿名用户(即 User = '' 的账号,如 ''@'localhost')不是“没填用户名”的小问题,而是**默认安装后最危险的后门之一**——它能让攻击者在不提供任何用户名、甚至不输密码的情况下,直接获得数据库访问权限,且往往拥有远超预期的权限。
为什么匿名用户比空密码 root 更隐蔽也更危险
很多人改了 root 密码就以为安全了,却忽略了匿名用户的存在。它的危险性在于三点:
- 它不显眼:
SELECT User, Host FROM mysql.user返回结果里,User列是空字符串,容易被肉眼跳过; - 它权限可能极高:某些旧版本或未加固环境里,
''@'localhost'默认对test库有ALL PRIVILEGES,还能执行SELECT ... INTO OUTFILE读写服务器文件; - 它绕过常规登录逻辑:用
mysql -h localhost -u "" -p可能失败,但 PHP 脚本里写mysqli_connect('localhost', '', '')却常能成功——因为 MySQL 在认证时会优先匹配''@'localhost'这条记录。
匿名用户典型攻击场景和后果
一旦存在且未限制,它可能被用于以下真实攻击链:
-
Web Shell 提权:攻击者上传一个带
mysqli_connect('localhost', '', '')的 PHP 文件,直接连上数据库,再用SELECT '' INTO OUTFILE '/var/www/html/shell.php'写入一句话木马; -
横向创建高危账号:匿名用户若拥有
Grant_priv = Y(不少默认配置真有),可直接执行CREATE USER 'hacker'@'%' IDENTIFIED BY '123'; GRANT ALL ON *.* TO 'hacker'@'%';,彻底失控; -
耗尽资源 DoS:在
test库中反复CREATE TABLE big_table AS SELECT REPEAT('a', 1000000) FROM information_schema.columns,快速占满磁盘。
三步清掉匿名用户(必须按顺序执行)
别只删用户,漏掉刷新或残留记录,等于白干:
DELETE FROM mysql.user WHERE User = ''; DELETE FROM mysql.db WHERE User = ''; FLUSH PRIVILEGES;
- 第一行删主账号表中的空用户名记录;
- 第二行删库级权限表(
mysql.db)中对应空用户的权限,否则即使用户没了,test库仍可能被任意用户访问; -
FLUSH PRIVILEGES必须执行——MySQL 不会自动重载内存权限,不刷就还是生效状态。
删完还要防复发:两个关键检查点
删一次不等于一劳永逸。下次初始化或恢复备份时可能又带回来:
-
检查是否还监听公网:运行
netstat -tlnp | grep :3306,如果看到0.0.0.0:3306,说明 MySQL 正在暴露给所有网卡——哪怕删了匿名用户,远程攻击者仍可能暴力猜解其他账号;应确保my.cnf中有bind-address = 127.0.0.1; -
确认 test 数据库已清除:执行
DROP DATABASE IF EXISTS test;和DELETE FROM mysql.db WHERE Db = 'test' OR Db LIKE 'test//_%';,避免残留库级权限成为新入口。
最容易被忽略的是:很多团队删了 ''@'localhost',却忘了还有 ''@'127.0.0.1' 或 ''@'::1'(IPv6 回环),它们是独立的 Host 记录,必须分别处理。查全靠 SELECT User, Host FROM mysql.user WHERE User = '';,别凭经验只删一个。