MySQL数据库遭到攻击篡改—使用备份和binlog进行数据恢复

数据库|mysql教程

MySQL,数据库,遭到,攻击,篡改,使用,备份,binlo

数据库-mysql教程

高仿谷歌地图源码,vscode软件说明,ubuntu krdc,tomcat 7.0布置,sqlite安装过程截图,苹果cms影视支付插件,有关前端框架的选择题,网易云音乐爬虫 加解密,linux如何安装php,龙江seo优化维护,利用手机搭建网站,可以拿别人网页特效代码吗,班级博客网站模板下载lzw

数据篡改即是对计算机网络数据进行修改、增加或删除，造成数据破坏。数据库数据被攻击了首先得查看是被删除了还是被篡改了?是否有备份数据，是否能够进行恢复并加固。本文来自数据库技术专家张正，主要描述了MySQL遭到攻击篡改数据，利用从库的备份和主库的B

原创音乐源码,vscode如何搜索,ubuntu 附加,tomcat启动很卡,sqlite批量删除表数据,qq空间截图插件,APP开发前端用什么框架,爬虫睿数什么意思,php定时发送,安徽seo公司报价,网站后台模板psd,网页精简代码工具下载,房地产公司网站模板lzw

crm 源码 商业版 下载,ubuntu下安装gpp,tomcat读的是什么文件,院里小爬虫多,在php中函数间参数传递,seo换工作lzw

数据篡改即是对计算机网络数据进行修改、增加或删除，造成数据破坏。数据库数据被攻击了首先得查看是被删除了还是被篡改了?是否有备份数据，是否能够进行恢复并加固。本文来自数据库技术专家张正，主要描述了MySQL遭到攻击篡改数据，利用从库的备份和主库的Binlog进行不完全恢复。

以下是作者原文：

A、发现问题

今天是-09-26，开发大清早就说昨晚数据库遭到了攻击。数据库中某文章表的文章内容字段遭到篡改，全部改成了同一篇文章。

通过查看日制 发现 数据是在 -09-25 21:53:57 遭到篡改。

所有的内容全部被改成了如下：

我把文章贴出来，先谴责一下，很可能是某旅游社的人为了打广告 雇人干的。

B、解决方法

这个库我们是每天凌晨备份，保留30天的备份。主库的Binlog保留时间为7天。

因此很容易想到的方法是将从库-09-25凌晨的备份拿出来恢复，然后通过主库的Binlog通过时间段来筛选出凌晨至-09-25 21:53:56的所有更改，之后的数据，经业务确认，可以舍弃掉。或者后面再通过其他方法慢慢将这部分数据找出来。但是当务之急，是立马恢复数据库。

C、找备份及时间点

在备份的从库上检查备份：

发现备份任务让注释了

查看备份文件：

[root@localhost 6084]# ll

total 128

drwxr-xr-x 2 root root 4096 Aug 25 03:13 0825

drwxr-xr-x 2 root root 4096 Aug 26 03:13 0826

drwxr-xr-x 2 root root 4096 Aug 27 03:13 0827

drwxr-xr-x 2 root root 4096 Aug 28 03:13 0828

drwxr-xr-x 2 root root 4096 Aug 29 03:13 0829

drwxr-xr-x 2 root root 4096 Aug 30 03:13 0830

drwxr-xr-x 2 root root 4096 Aug 31 03:13 0831

drwxr-xr-x 2 root root 4096 Sep 1 03:13 0901

drwxr-xr-x 2 root root 4096 Sep 2 03:13 0902

drwxr-xr-x 2 root root 4096 Sep 3 03:13 0903

drwxr-xr-x 2 root root 4096 Sep 4 03:13 0904

drwxr-xr-x 2 root root 4096 Sep 5 03:13 0905

drwxr-xr-x 2 root root 4096 Sep 6 03:13 0906

drwxr-xr-x 2 root root 4096 Sep 7 03:13 0907

drwxr-xr-x 2 root root 4096 Sep 8 03:13 0908

drwxr-xr-x 2 root root 4096 Sep 9 03:13 0909

drwxr-xr-x 2 root root 4096 Sep 10 03:13 0910

drwxr-xr-x 2 root root 4096 Sep 11 03:13 0911

drwxr-xr-x 2 root root 4096 Sep 12 03:13 0912

drwxr-xr-x 2 root root 4096 Sep 13 03:13 0913

drwxr-xr-x 2 root root 4096 Sep 14 03:13 0914

drwxr-xr-x 2 root root 4096 Sep 15 03:13 0915

drwxr-xr-x 2 root root 4096 Sep 16 03:13 0916

drwxr-xr-x 2 root root 4096 Sep 17 03:13 0917

drwxr-xr-x 2 root root 4096 Sep 18 03:14 0918

drwxr-xr-x 2 root root 4096 Sep 19 03:14 0919

drwxr-xr-x 2 root root 4096 Sep 20 03:13 0920

drwxr-xr-x 2 root root 4096 Sep 21 03:13 0921

drwxr-xr-x 2 root root 4096 Sep 22 03:14 0922

drwxr-xr-x 2 root root 4096 Sep 23 18:33 0923

-rw-r--r-- 1 root root 5475 Sep 23 18:33 mysql-bakup.log

备份只到0923日，下午18:33分。

备份日志最后一段截取：

因为这些表是在从库备份的，而且表都是MyiSAM的表。查看备份脚本，是先Stop Slave之后，才开始备份，因此从备份脚本输出的日志中找到备份开始的时间是：

通过：

可看到结束时间是：-09-23 18:33:00

现在考虑到底是以备份开始的时间：-09-23 18:19:12 为Start-DateTime还是以-09-23 18:33:00 为Start-DateTime。

前面 提到备份脚本是从库进行备份的，是在-09-23 18:19:12开始的，在这个时刻备份开始，执行了Stop Slave；因此整个备份的状态反映的是从库-09-23 18:19:12 这个时间的状态。而且通过监控可以看到在这个时间点，从库的延迟为0，因此可以认为这个备份就是?主库在这个时间的备份。

NOTES：

（有人可能会因为从库上有Binlog，从库也会接受主库的Binlog之类的机制而造成混淆。这里要结合我们具体的备份方式和恢复方式来看，以选出正确的时间点。）

前面提到通过日志查到遭到篡改的时间为：-09-25?21:53:57，因此可以将-09-25?21:53:56作为Stop-DateTime

因此Binlog命令应该是这样：

mysqlbinlog --database=[db_name] --start-datetime=-09-23 18:19:12 --stop-datetime=-09-25 21:53:56

[binlog_name] > binlog_name0000x.sql

D、具体的恢复操作

清楚了这些，具体的操作就简单了：

1.从备份机拷贝备份：

2.恢复测试机 解压：

3.恢复测试机导入(测试恢复库中之前没有db_name这个库)：

4.将主库的Binlog拷贝到恢复测试机：

查看主库Binlog

-rw-rw---- 1 MySQL MySQL 87669492 Sep 23 00:00 MySQL-bin.000469

-rw-rw---- 1 MySQL MySQL 268436559 Sep 23 04:20 MySQL-bin.000470

-rw-rw---- 1 MySQL MySQL 268435558 Sep 23 17:32 MySQL-bin.000471

-rw-rw---- 1 MySQL MySQL 37425262 Sep 24 00:00 MySQL-bin.000472

-rw-rw---- 1 MySQL MySQL 137389819 Sep 25 00:00 MySQL-bin.000473

-rw-rw---- 1 MySQL MySQL 147386521 Sep 26 00:00 MySQL-bin.000474

我们需要的Binlog时间段为：-09-23 18:28:00 至 -09-25 21:53:56

因此只需要：

-rw-rw---- 1 MySQL MySQL 37425262 Sep 24 00:00 MySQL-bin.000472

-rw-rw---- 1 MySQL MySQL 137389819 Sep 25 00:00 MySQL-bin.000473

-rw-rw---- 1 MySQL MySQL 147386521 Sep 26 00:00 MySQL-bin.000474

将这3个Binlog ?Copy过去：

5.使用MySQLBinlog 生成SQL脚本：

MySQLBinlog --database=[db_name] --start-datetime=-09-23 18:19:12 --stop-datetime=-09-25 21:53:56

MySQL-bin.000472 > 472.SQL

MySQLBinlog --database=[db_name] --start-datetime=-09-23 18:19:12 --stop-datetime=-09-25 21:53:56

MySQL-bin.000473 > 473.SQL

MySQLBinlog --database=[db_name] --start-datetime=-09-23 18:19:12 --stop-datetime=-09-25 21:53:56

MySQL-bin.000474 > 474SQL

6.Binlog生成的SQL脚本导入：

待0923.db_name导入到恢复测试库之后，将MySQLBinlog生成的SQL脚本导入到数据库中：

7.导入完成后检查数据正确性：

大致看一下数据的情况，然后可以通过时间字段来看一下情况：

MySQL> select max(createtime),max(updatetime) from table_name;

+-----------------+-----------------+

| max(createtime) | max(updatetime) |

+-----------------+-----------------+

|1411648043 |1411648043 |

+-----------------+-----------------+

1 row in set (0.00 sec)

时间差不多为 晚上20:27了

这个判断，作为DBA，查看部分数据，只能起到辅助作用，具体的需要 到底是否OK，需要业务开发的人来判断。

经过业务开发确认后，即可将该数据导出后，再导入到线上主库中。

8、将该库导出，并压缩：

压缩：

SCP 到主库 （复制的时候，请将网络因素考虑进去，确认不会占用过多带宽而影响其他线上业务）

9.恢复测试的数据导入到线上主库中：

线上主库操作：

操作之前，最好让开发把应用业务那段先暂停，否则可能会影响导入。比如这个表示MyISAM的，应用那边如果不听有update进来，就会阻塞数据导入。

a、主库将原始被篡改的表改名：（不要上来就drop，先rename，后续确认没问题了再考虑drop，因为很多问题不是一瞬间就能全部反映上来的）

b、解压：

c、导入新表数据：

后面就需要开发来进一步验证数据是否 OK 了。 验证没问题后，再启动应用程序。

原文地址：MySQL数据库遭到攻击篡改—使用备份和binlog进行数据恢复, 感谢原作者分享。