Tengo muchos medios para buscar códigos maliciosos dentro del sistema de archivos, monitorear el tráfico, escanear archivos de registro, buscar procesos sospechosos / enmascarados, etc.
Sin embargo, escanear una base de datos relacional como MySQL no es una tarea fácil. Algunos exploits como el Magento Shoplift de 2015 tienen como objetivo inyectar código malicioso dentro de la base de datos, teniendo en cuenta su estructura y la forma en que coopera con las aplicaciones del lado del servidor. Volcar la base de datos y luego ejecutar una búsqueda basada en firmas sería completamente ineficiente ya que algunos de los datos se almacenan en BLOB y otros tipos de datos. Además, no necesariamente parece sospechoso y está lejos de lo que podría parecer un shell web de PHP, por ejemplo.
Mi pregunta es: ¿cuál es la forma más práctica y eficiente de detectar anomalías y detectar códigos maliciosos en una base de datos MySQL ?
¿Se podría considerar lo siguiente como un enfoque decente?
- Volcar la base de datos;
- Compruébelo línea por línea en comparación con la misma base de datos desde un archivo de copia de seguridad;
- decir que usa una funcionalidad similar a la de diffchecker.com;
- Analizar los datos recién insertados / actualizados;
- esto podría implicar omitir grandes cantidades de datos, lo que claramente no es un comportamiento malicioso;
Gracias.