本文主要描述了MySQL遭到攻击篡改数据,利用从库的备份和主库的binlog进行不完全恢复。
欢迎转载,请注明作者、出处。
作者:张正 blog:/26355921 QQ:176036317 如有疑问,欢迎联系。一、发现问题今天是-09-26,开发大清早就说昨晚数据库遭到了攻击。数据库中某文章表的文章内容字段遭到篡改,全部改成了同一篇文章。 通过查看日制 发现 数据是在-09-2521:53:57遭到篡改。
所有的内容全部被改成了如下:
我把文章贴出来,先谴责一下,很可能是某旅游社的人为了打广告 雇人干的。二、解决方法
这个库我们是每天凌晨备份,保留30天的备份。主库的binlog保留时间为7天。 因此很容易想到的方法是将从库-09-25凌晨的备份拿出来恢复,然后通过主库的binlog通过时间段来筛选出凌晨至-09-2521:53:56的所有更改,之后的数据,经业务确认,可以舍弃掉。或者后面再通过其他方法慢慢将这部分数据找出来。但是当务之急,是立马恢复数据库。三、找备份及时间点
在备份的从库上检查备份: crontab -l #0 3 * * * /data/opdir/mysqlbak/backup_mysqldump.sh 6084 >> /data/opdir/mysqlbak/6084/mysql-bakup.log 2>&1 发现备份任务让注释了
查看备份文件: [root@localhost 6084]# ll total 128 drwxr-xr-x 2 root root 4096 Aug 25 03:13 0825 drwxr-xr-x 2 root root 4096 Aug 26 03:13 0826 drwxr-xr-x 2 root root 4096 Aug 27 03:13 0827 drwxr-xr-x 2 root root 4096 Aug 28 03:13 0828 drwxr-xr-x 2 root root 4096 Aug 29 03:13 0829 drwxr-xr-x 2 root root 4096 Aug 30 03:13 0830 drwxr-xr-x 2 root root 4096 Aug 31 03:13 0831 drwxr-xr-x 2 root root 4096 Sep 1 03:13 0901 drwxr-xr-x 2 root root 4096 Sep 2 03:13 0902 drwxr-xr-x 2 root root 4096 Sep 3 03:13 0903 drwxr-xr-x 2 root root 4096 Sep 4 03:13 0904 drwxr-xr-x 2 root root 4096 Sep 5 03:13 0905 drwxr-xr-x 2 root root 4096 Sep 6 03:13 0906 drwxr-xr-x 2 root root 4096 Sep 7 03:13 0907 drwxr-xr-x 2 root root 4096 Sep 8 03:13 0908 drwxr-xr-x 2 root root 4096 Sep 9 03:13 0909 drwxr-xr-x 2 root root 4096 Sep 10 03:13 0910 drwxr-xr-x 2 root root 4096 Sep 11 03:13 0911 drwxr-xr-x 2 root root 4096 Sep 12 03:13 0912 drwxr-xr-x 2 root root 4096 Sep 13 03:13 0913 drwxr-xr-x 2 root root 4096 Sep 14 03:13 0914 drwxr-xr-x 2 root root 4096 Sep 15 03:13 0915 drwxr-xr-x 2 root root 4096 Sep 16 03:13 0916 drwxr-xr-x 2 root root 4096 Sep 17 03:13 0917 drwxr-xr-x 2 root root 4096 Sep 18 03:14 0918 drwxr-xr-x 2 root root 4096 Sep 19 03:14 0919 drwxr-xr-x 2 root root 4096 Sep 20 03:13 0920 drwxr-xr-x 2 root root 4096 Sep 21 03:13 0921 drwxr-xr-x 2 root root 4096 Sep 22 03:14 0922drwxr-xr-x 2 root root 4096 Sep 23 18:33 0923-rw-r--r-- 1 root root 5475 Sep 23 18:33 mysql-bakup.log备份只到0923日,下午18:33分。备份日志最后一段截取: tail -n 5mysql-bakup.log deleting backup of 30 days ago -- 0824
-09-2318:19:12 begin backup...0824 deleted OK -09-2318:33:43 end backup...因为这些表是在从库备份的,而且表都是MyiSAM的表。查看备份脚本,是先stop slave之后,才开始备份,因此从备份脚本输出的日志中找到备份开始的时间是:
-09-23 18:19:12 通过:drwxr-xr-x 2 root root 4096Sep 23 18:330923 可看到结束时间是:-09-23 18:33:00现在考虑到底是以备份开始的时间:-09-23 18:19:12为start-datetime还是以-09-23 18:33:00为start-datetime。 前面 提到备份脚本是从库进行备份的,是在-09-23 18:19:12开始的,在这个时刻备份开始,执行了stop slave;因此整个备份的状态反映的是从库-09-23 18:19:12 这个时间的状态。而且通过监控可以看到在这个时间点,从库的延迟为0,因此可以认为这个备份就是主库在这个时间的备份。
NOTES:
(有人可能会因为从库上有binlog,从库也会接受主库的binlog之类的机制而造成混淆。这里要结合我们具体的备份方式和恢复方式来看,以选出正确的时间点。) 前面提到通过日志查到遭到篡改的时间为:-09-2521:53:57,因此可以将-09-2521:53:56作为stop-datetime 因此binlog命令应该是这样:mysqlbinlog --database=[db_name] --start-datetime='-09-2318:19:12' --stop-datetime='-09-25 21:53:56'
[binlog_name] > binlog_name0000x.sql四、具体的恢复操作清楚了这些,具体的操作就简单了:1.从备份机拷贝备份:scp <备份机IP>:/data/mysqlbak/0923/0923.db_name.gz <恢复测试机IP>:/data/opdir/09262.恢复测试机 解压:gunzip0923.db_name.gz3.恢复测试机导入(测试恢复库中之前没有db_name这个库): mysql -uroot -pxxxxxx -S /tmp/mysql.sock <0923.db_name4.将主库的binlog拷贝到恢复测试机:查看主库binlog -rw-rw---- 1 mysql mysql 87669492 Sep 23 00:00 mysql-bin.000469 -rw-rw---- 1 mysql mysql 268436559 Sep 23 04:20 mysql-bin.000470 -rw-rw---- 1 mysql mysql 268435558 Sep 23 17:32 mysql-bin.000471 -rw-rw---- 1 mysql mysql 37425262 Sep 24 00:00 mysql-bin.000472 -rw-rw---- 1 mysql mysql 137389819 Sep 25 00:00 mysql-bin.000473 -rw-rw---- 1 mysql mysql 147386521 Sep 26 00:00 mysql-bin.000474 我们需要的binlog时间段为:-09-23 18:28:00至-09-25 21:53:56因此只需要: -rw-rw---- 1 mysql mysql 37425262 Sep 24 00:00 mysql-bin.000472 -rw-rw---- 1 mysql mysql 137389819 Sep 25 00:00 mysql-bin.000473 -rw-rw---- 1 mysql mysql 147386521 Sep 26 00:00 mysql-bin.000474 将这3个binlog copy过去: scp mysql-bin.000472 <恢复测试机IP>:/data/opdir/0926 scp mysql-bin.000473 <恢复测试机IP>:/data/opdir/0926
scp mysql-bin.000474 <恢复测试机IP>:/data/opdir/09265.使用mysqlbinlog 生成sql脚本:mysqlbinlog --database=[db_name] --start-datetime='-09-2318:19:12' --stop-datetime='-09-25 21:53:56'
mysql-bin.000472> 472.sql mysqlbinlog --database=[db_name] --start-datetime='-09-2318:19:12' --stop-datetime='-09-25 21:53:56'
mysql-bin.000473> 473.sql mysqlbinlog --database=[db_name] --start-datetime='-09-2318:19:12' --stop-datetime='-09-25 21:53:56'
mysql-bin.000474> 474sql6.binlog生成的sql脚本导入:待0923.db_name导入到恢复测试库之后,将mysqlbinlog生成的sql脚本导入到数据库中: mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name < 472.sql mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name < 473.sql
mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name < 474.sql7.导入完成后检查数据正确性:大致看一下数据的情况,然后可以通过时间字段来看一下情况: mysql> select max(createtime),max(updatetime) from table_name; +-----------------+-----------------+ | max(createtime) | max(updatetime) | +-----------------+-----------------+ | 1411648043 | 1411648043 | +-----------------+-----------------+ 1 row in set (0.00 sec) 时间差不多为 晚上20:27了 这个判断,作为DBA,查看部分数据,只能起到辅助作用,具体的需要 到底是否OK,需要业务开发的人来判断。
经过业务开发确认后,即可将该数据导出后,再导入到线上主库中。8、将该库导出,并压缩:mysqldump -uroot -pxxxxxx -S /tmp/mysql.sock -q db_name table_name > table_name.sql
压缩:
gzip table_name.sql scp 到主库 (复制的时候,请将网络因素考虑进去,确认不会占用过多带宽而影响其他线上业务)9.恢复测试的数据导入到线上主库中:
线上主库操作: 操作之前,最好让开发把应用业务那段先暂停,否则可能会影响导入。比如这个表示MyISAM的,应用那边如果不听有update进来,就会阻塞数据导入。a、主库将原始被篡改的表改名:(不要上来就drop,先rename,后续确认没问题了再考虑drop,因为很多问题不是一瞬间就能全部反映上来的) rename table_name to old_table_name;b、解压: gunziptable_name.sql.gzc、导入新表数据: mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name <table_name.sql 后面就需要开发来进一步验证数据是否 OK 了。 验证没问题后,再启动应用程序。
本文转自ITPUB博客84223932的博客,原文链接:MySQL数据库遭到攻击篡改---使用备份和binlog进行数据恢复,如需转载请自行联系原博主。
