当MySQL数据库遭到攻击篡改后,使用备份和binlog进行数据恢复
时间:2014-12-26 18:18 来源:itpub.net 作者:张正
本文主要描述了MySQL遭到攻击篡改数据,利用从库的备份和主库的binlog进行不完全恢复。
一、发现问题
今天是2014-09-26,开发大清早就说昨晚数据库遭到了攻击。数据库中某文章表的文章内容字段遭到篡改,全部改成了同一篇文章。
通过查看日制 发现 数据是在 2014-09-25 21:53:57 遭到篡改。
所有的内容全部被改成了如下:
subject: 桂林阳朔自助游
content:
一直都是自助游,从不喜欢?团。去之前都是在网上做足了功课,真的是很感谢那些写游记写攻略的朋友。所以,现在也想把自己的体会和经验写出来,和大家分享,希望对后来的朋友有帮助。
一个月前,朋友约我去阳朔一游,阳朔也是我一直想去的地方,特别是传说中的西街。上网搜集资料,制定出我们的行程计划(呵呵,可能是职业习惯吧,制定计划和行程安排是我们的强项,计划性和灵活性是我们的特点),目的很明确,是度假休闲,不必游走于各个景点,其实我想朋友们也在很多地方都旅游多了,也知道有些景点是怎么出来的,各地都一样。
制定好主旋律后,我们的大致行程安排如下:
十九号桂林集中,二十号出发去阳朔,先去阳朔安顿下来(有些人是从桂林带着行李在杨堤路口下车,直接先去漓江漂流,然后再去阳朔,好像节约时间,不过,我们因为没有安排那么满,也不想带着行李游玩,所以选择先去阳朔安顿,和客栈老板好好聊聊情况后,再决定具体细节)
?次度假的主要内容是:漓江漂流;遇龙河漂流(全漂),十里画廊;西街打望,发呆,西街酒吧,印象刘三姐,其他的根据情况和心情临时决定。
一切约定妥当,我们各自准备!我是一个比较爱享受的人,即使是出门在外,也要尽量?持生活不?,所以,带了一个比较大的箱子,平时所用物品,一应俱全,当然,游玩和逛街服装鞋子,也都有准备。
下面,就开始我们的?晚?天的桂林和阳朔之旅吧!
第一天第一晚:19号
十九号下班后,她从重庆出发,我从广?出发,约定在桂林机场见面,因为是坐晚班机,到桂林时已经半夜了,为了安全,为了方便第二天去汽车?,经过多次纠结,我们最终选择了民航大厦作为桂林住宿地。?里是机场巴士的终点,离汽车?也不?,两个弱女子,?是不要再转其他车子比较好,虽然酒店有免费接机服务,但是我们一致认为,?是坐公共交通比较好(最近那么多的女孩失联事件,?是小心为妙)。?里要补充一句,机场巴士共有两?,先到的是天鹅宾馆,离火车?汽车?比民航大厦?要近,因为我们事先已经定好了民航,而且担?了,所以,就没有改了。?民航大厦差不多估计。
民航大厦:老宾馆了,一般都不会选择?里。?次是安全第一,反正就住一晚,实在是将就了。建议有男士一起的,?是不要住?里为好。实在太差。
第二天:出发去阳朔 20号
早上起床准备妥当,退房,出发步行去汽车?(具体路线已经看好),大概1.3公里。在途中看到一家米粉店,是本地人去吃的,?有不少打包的,于是,坐下来,在路边吃了第一顿酸酸臭臭的桂林米粉。确实?不错,我们?汤都喝完了。
桂林到阳朔的汽车的确方便,不过就是车子比较破旧,到阳朔的路也很是颠簸(关于?点,后面会说)。大约一个半小时的路程,我们终于到了阳朔,?座夹在树山中的小县城。山的确很美,县
我把文章贴出来,先谴责一下,很可能是某旅游社的人为了打广告 雇人干的。
二、解决方法
这个库我们是每天凌晨备份,保留30天的备份。主库的binlog保留时间为7天。
因此很容易想到的方法是将从库2014-09-25凌晨的备份拿出来恢复,然后通过主库的binlog通过时间段来筛选出凌晨至2014-09-25 21:53:56的所有更改,之后的数据,经业务确认,可以舍弃掉。或者后面再通过其他方法慢慢将这部分数据找出来。但是当务之急,是立马恢复数据库。
三、找备份及时间点
在备份的从库上检查备份:
crontab -l
#0 3 * * * /data/opdir/mysqlbak/backup_mysqldump.sh 6084 >> /data/opdir/mysqlbak/6084/mysql-bakup.log 2>&1
发现备份任务让注释了
查看备份文件:
[root@localhost 6084]# ll
total 128
drwxr-xr-x 2 root root 4096 Aug 25 03:13 20140825
drwxr-xr-x 2 root root 4096 Aug 26 03:13 20140826
drwxr-xr-x 2 root root 4096 Aug 27 03:13 20140827
drwxr-xr-x 2 root root 4096 Aug 28 03:13 20140828
drwxr-xr-x 2 root root 4096 Aug 29 03:13 20140829
drwxr-xr-x 2 root root 4096 Aug 30 03:13 20140830
drwxr-xr-x 2 root root 4096 Aug 31 03:13 20140831
drwxr-xr-x 2 root root 4096 Sep 1 03:13 20140901
drwxr-xr-x 2 root root 4096 Sep 2 03:13 20140902
drwxr-xr-x 2 root root 4096 Sep 3 03:13 20140903
drwxr-xr-x 2 root root 4096 Sep 4 03:13 20140904
drwxr-xr-x 2 root root 4096 Sep 5 03:13 20140905
drwxr-xr-x 2 root root 4096 Sep 6 03:13 20140906
drwxr-xr-x 2 root root 4096 Sep 7 03:13 20140907
drwxr-xr-x 2 root root 4096 Sep 8 03:13 20140908
drwxr-xr-x 2 root root 4096 Sep 9 03:13 20140909
drwxr-xr-x 2 root root 4096 Sep 10 03:13 20140910
drwxr-xr-x 2 root root 4096 Sep 11 03:13 20140911
drwxr-xr-x 2 root root 4096 Sep 12 03:13 20140912
drwxr-xr-x 2 root root 4096 Sep 13 03:13 20140913
drwxr-xr-x 2 root root 4096 Sep 14 03:13 20140914
drwxr-xr-x 2 root root 4096 Sep 15 03:13 20140915
drwxr-xr-x 2 root root 4096 Sep 16 03:13 20140916
drwxr-xr-x 2 root root 4096 Sep 17 03:13 20140917
drwxr-xr-x 2 root root 4096 Sep 18 03:14 20140918
drwxr-xr-x 2 root root 4096 Sep 19 03:14 20140919
drwxr-xr-x 2 root root 4096 Sep 20 03:13 20140920
drwxr-xr-x 2 root root 4096 Sep 21 03:13 20140921
drwxr-xr-x 2 root root 4096 Sep 22 03:14 20140922
drwxr-xr-x 2 root root 4096 Sep 23 18:33 20140923
-rw-r--r-- 1 root root 5475 Sep 23 18:33 mysql-bakup.log
备份只到20140923日,下午18:33分。
备份日志最后一段截取: tail -n 5 mysql-bakup.log
deleting backup of 30 days ago -- 20140824
2014-09-23 18:19:12 begin backup ...
20140824 deleted OK
2014-09-23 18:33:43 end backup ...
因为这些表是在从库备份的,而且表都是MyiSAM的表。查看备份脚本,是先stop slave之后,才开始备份,因此从备份脚本输出的日志中找到备份开始的时间是:
2014-09-23 18:19:12
通过:drwxr-xr-x 2 root root 4096 Sep 23 18:33 20140923
可看到结束时间是:2014-09-23 18:33:00
现在考虑到底是以备份开始的时间:2014-09-23 18:19:12 为start-datetime还是以2014-09-23 18:33:00 为start-datetime。
前面 提到备份脚本是从库进行备份的,是在2014-09-23 18:19:12开始的,在这个时刻备份开始,执行了stop slave;因此整个备份的状态反映的是从库2014-09-23 18:19:12 这个时间的状态。而且通过监控可以看到在这个时间点,从库的延迟为0,因此可以认为这个备份就是 主库在这个时间的备份。
NOTES:
(有人可能会因为从库上有binlog,从库也会接受主库的binlog之类的机制而造成混淆。这里要结合我们具体的备份方式和恢复方式来看,以选出正确的时间点。)
前面提到通过日志查到遭到篡改的时间为:2014-09-25 21:53:57,因此可以将2014-09-25 21:53:56作为stop-datetime
因此binlog命令应该是这样:
mysqlbinlog --database=[db_name] --start-datetime='2014-09-23 18:19:12' --stop-datetime='2014-09-25 21:53:56'
[binlog_name] > binlog_name0000x.sql
四、具体的恢复操作
清楚了这些,具体的操作就简单了:
1.从备份机拷贝备份:
scp <备份机IP>:/data/mysqlbak/20140923/20140923.db_name.gz <恢复测试机IP>:/data/opdir/20140926
2.恢复测试机 解压:
gunzip 20140923.db_name.gz
3.恢复测试机导入(测试恢复库中之前没有db_name这个库):
mysql -uroot -pxxxxxx -S /tmp/mysql.sock < 20140923.db_name
4.将主库的binlog拷贝到恢复测试机:
查看主库binlog
-rw-rw---- 1 mysql mysql 87669492 Sep 23 00:00 mysql-bin.000469
-rw-rw---- 1 mysql mysql 268436559 Sep 23 04:20 mysql-bin.000470
-rw-rw---- 1 mysql mysql 268435558 Sep 23 17:32 mysql-bin.000471
-rw-rw---- 1 mysql mysql 37425262 Sep 24 00:00 mysql-bin.000472
-rw-rw---- 1 mysql mysql 137389819 Sep 25 00:00 mysql-bin.000473
-rw-rw---- 1 mysql mysql 147386521 Sep 26 00:00 mysql-bin.000474
我们需要的binlog时间段为:2014-09-23 18:28:00 至 2014-09-25 21:53:56
因此只需要:
-rw-rw---- 1 mysql mysql 37425262 Sep 24 00:00 mysql-bin.000472
-rw-rw---- 1 mysql mysql 137389819 Sep 25 00:00 mysql-bin.000473
-rw-rw---- 1 mysql mysql 147386521 Sep 26 00:00 mysql-bin.000474
将这3个binlog copy过去:
scp mysql-bin.000472 <恢复测试机IP>:/data/opdir/20140926
scp mysql-bin.000473 <恢复测试机IP>:/data/opdir/20140926
scp mysql-bin.000474 <恢复测试机IP>:/data/opdir/20140926
5.使用mysqlbinlog 生成sql脚本:
mysqlbinlog --database=[db_name] --start-datetime='2014-09-23 18:19:12' --stop-datetime='2014-09-25 21:53:56'
mysql-bin.000472 > 472.sql
mysqlbinlog --database=[db_name] --start-datetime='2014-09-23 18:19:12' --stop-datetime='2014-09-25 21:53:56'
mysql-bin.000473 > 473.sql
mysqlbinlog --database=[db_name] --start-datetime='2014-09-23 18:19:12' --stop-datetime='2014-09-25 21:53:56'
mysql-bin.000474 > 474sql
6.binlog生成的sql脚本导入:
待20140923.db_name导入到恢复测试库之后,将mysqlbinlog生成的sql脚本导入到数据库中:
mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name < 472.sql
mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name < 473.sql
mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name < 474.sql
7.导入完成后检查数据正确性:
大致看一下数据的情况,然后可以通过时间字段来看一下情况:
mysql> select max(createtime),max(updatetime) from table_name;
+-----------------+-----------------+
| max(createtime) | max(updatetime) |
+-----------------+-----------------+
| 1411648043 | 1411648043 |
+-----------------+-----------------+
1 row in set (0.00 sec)
时间差不多为 晚上20:27了
这个判断,作为DBA,查看部分数据,只能起到辅助作用,具体的需要 到底是否OK,需要业务开发的人来判断。
经过业务开发确认后,即可将该数据导出后,再导入到线上主库中。
8、将该库导出,并压缩:
mysqldump -uroot -pxxxxxx -S /tmp/mysql.sock -q db_name table_name > table_name.sql
压缩:
gzip table_name.sql
scp 到主库 (复制的时候,请将网络因素考虑进去,确认不会占用过多带宽而影响其他线上业务)
9.恢复测试的数据导入到线上主库中:
线上主库操作:
操作之前,最好让开发把应用业务那段先暂停,否则可能会影响导入。比如这个表示MyISAM的,应用那边如果不听有update进来,就会阻塞数据导入。
a、主库将原始被篡改的表改名:(不要上来就drop,先rename,后续确认没问题了再考虑drop,因为很多问题不是一瞬间就能全部反映上来的)
rename table_name to old_table_name;
b、解压:
gunzip table_name.sql.gz
c、导入新表数据:
mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name < table_name.sql
后面就需要开发来进一步验证数据是否 OK 了。 验证没问题后,再启动应用程序。
(责任编辑:IT)
本文主要描述了MySQL遭到攻击篡改数据,利用从库的备份和主库的binlog进行不完全恢复。 一、发现问题
今天是2014-09-26,开发大清早就说昨晚数据库遭到了攻击。数据库中某文章表的文章内容字段遭到篡改,全部改成了同一篇文章。
通过查看日制 发现 数据是在 2014-09-25 21:53:57 遭到篡改。
所有的内容全部被改成了如下:
我把文章贴出来,先谴责一下,很可能是某旅游社的人为了打广告 雇人干的。
二、解决方法
这个库我们是每天凌晨备份,保留30天的备份。主库的binlog保留时间为7天。
因此很容易想到的方法是将从库2014-09-25凌晨的备份拿出来恢复,然后通过主库的binlog通过时间段来筛选出凌晨至2014-09-25 21:53:56的所有更改,之后的数据,经业务确认,可以舍弃掉。或者后面再通过其他方法慢慢将这部分数据找出来。但是当务之急,是立马恢复数据库。
三、找备份及时间点
在备份的从库上检查备份:
crontab -l
#0 3 * * * /data/opdir/mysqlbak/backup_mysqldump.sh 6084 >> /data/opdir/mysqlbak/6084/mysql-bakup.log 2>&1
发现备份任务让注释了
查看备份文件:
[root@localhost 6084]# ll
total 128
drwxr-xr-x 2 root root 4096 Aug 25 03:13 20140825
drwxr-xr-x 2 root root 4096 Aug 26 03:13 20140826
drwxr-xr-x 2 root root 4096 Aug 27 03:13 20140827
drwxr-xr-x 2 root root 4096 Aug 28 03:13 20140828
drwxr-xr-x 2 root root 4096 Aug 29 03:13 20140829
drwxr-xr-x 2 root root 4096 Aug 30 03:13 20140830
drwxr-xr-x 2 root root 4096 Aug 31 03:13 20140831
drwxr-xr-x 2 root root 4096 Sep 1 03:13 20140901
drwxr-xr-x 2 root root 4096 Sep 2 03:13 20140902
drwxr-xr-x 2 root root 4096 Sep 3 03:13 20140903
drwxr-xr-x 2 root root 4096 Sep 4 03:13 20140904
drwxr-xr-x 2 root root 4096 Sep 5 03:13 20140905
drwxr-xr-x 2 root root 4096 Sep 6 03:13 20140906
drwxr-xr-x 2 root root 4096 Sep 7 03:13 20140907
drwxr-xr-x 2 root root 4096 Sep 8 03:13 20140908
drwxr-xr-x 2 root root 4096 Sep 9 03:13 20140909
drwxr-xr-x 2 root root 4096 Sep 10 03:13 20140910
drwxr-xr-x 2 root root 4096 Sep 11 03:13 20140911
drwxr-xr-x 2 root root 4096 Sep 12 03:13 20140912
drwxr-xr-x 2 root root 4096 Sep 13 03:13 20140913
drwxr-xr-x 2 root root 4096 Sep 14 03:13 20140914
drwxr-xr-x 2 root root 4096 Sep 15 03:13 20140915
drwxr-xr-x 2 root root 4096 Sep 16 03:13 20140916
drwxr-xr-x 2 root root 4096 Sep 17 03:13 20140917
drwxr-xr-x 2 root root 4096 Sep 18 03:14 20140918
drwxr-xr-x 2 root root 4096 Sep 19 03:14 20140919
drwxr-xr-x 2 root root 4096 Sep 20 03:13 20140920
drwxr-xr-x 2 root root 4096 Sep 21 03:13 20140921
drwxr-xr-x 2 root root 4096 Sep 22 03:14 20140922
drwxr-xr-x 2 root root 4096 Sep 23 18:33 20140923
-rw-r--r-- 1 root root 5475 Sep 23 18:33 mysql-bakup.log
备份只到20140923日,下午18:33分。
备份日志最后一段截取: tail -n 5 mysql-bakup.log
deleting backup of 30 days ago -- 20140824
2014-09-23 18:19:12 begin backup ...
20140824 deleted OK
2014-09-23 18:33:43 end backup ...
因为这些表是在从库备份的,而且表都是MyiSAM的表。查看备份脚本,是先stop slave之后,才开始备份,因此从备份脚本输出的日志中找到备份开始的时间是:
2014-09-23 18:19:12
通过:drwxr-xr-x 2 root root 4096 Sep 23 18:33 20140923
可看到结束时间是:2014-09-23 18:33:00
现在考虑到底是以备份开始的时间:2014-09-23 18:19:12 为start-datetime还是以2014-09-23 18:33:00 为start-datetime。
前面 提到备份脚本是从库进行备份的,是在2014-09-23 18:19:12开始的,在这个时刻备份开始,执行了stop slave;因此整个备份的状态反映的是从库2014-09-23 18:19:12 这个时间的状态。而且通过监控可以看到在这个时间点,从库的延迟为0,因此可以认为这个备份就是 主库在这个时间的备份。
NOTES: (有人可能会因为从库上有binlog,从库也会接受主库的binlog之类的机制而造成混淆。这里要结合我们具体的备份方式和恢复方式来看,以选出正确的时间点。)
前面提到通过日志查到遭到篡改的时间为:2014-09-25 21:53:57,因此可以将2014-09-25 21:53:56作为stop-datetime
因此binlog命令应该是这样:
mysqlbinlog --database=[db_name] --start-datetime='2014-09-23 18:19:12' --stop-datetime='2014-09-25 21:53:56'
[binlog_name] > binlog_name0000x.sql
四、具体的恢复操作
清楚了这些,具体的操作就简单了:
1.从备份机拷贝备份:
scp <备份机IP>:/data/mysqlbak/20140923/20140923.db_name.gz <恢复测试机IP>:/data/opdir/20140926
2.恢复测试机 解压:
gunzip 20140923.db_name.gz
3.恢复测试机导入(测试恢复库中之前没有db_name这个库):
mysql -uroot -pxxxxxx -S /tmp/mysql.sock < 20140923.db_name
4.将主库的binlog拷贝到恢复测试机:
查看主库binlog
-rw-rw---- 1 mysql mysql 87669492 Sep 23 00:00 mysql-bin.000469
-rw-rw---- 1 mysql mysql 268436559 Sep 23 04:20 mysql-bin.000470
-rw-rw---- 1 mysql mysql 268435558 Sep 23 17:32 mysql-bin.000471
-rw-rw---- 1 mysql mysql 37425262 Sep 24 00:00 mysql-bin.000472
-rw-rw---- 1 mysql mysql 137389819 Sep 25 00:00 mysql-bin.000473
-rw-rw---- 1 mysql mysql 147386521 Sep 26 00:00 mysql-bin.000474
我们需要的binlog时间段为:2014-09-23 18:28:00 至 2014-09-25 21:53:56
因此只需要:
-rw-rw---- 1 mysql mysql 37425262 Sep 24 00:00 mysql-bin.000472
-rw-rw---- 1 mysql mysql 137389819 Sep 25 00:00 mysql-bin.000473
-rw-rw---- 1 mysql mysql 147386521 Sep 26 00:00 mysql-bin.000474
将这3个binlog copy过去:
scp mysql-bin.000472 <恢复测试机IP>:/data/opdir/20140926
scp mysql-bin.000473 <恢复测试机IP>:/data/opdir/20140926
scp mysql-bin.000474 <恢复测试机IP>:/data/opdir/20140926
5.使用mysqlbinlog 生成sql脚本:
mysqlbinlog --database=[db_name] --start-datetime='2014-09-23 18:19:12' --stop-datetime='2014-09-25 21:53:56'
mysql-bin.000472 > 472.sql
mysqlbinlog --database=[db_name] --start-datetime='2014-09-23 18:19:12' --stop-datetime='2014-09-25 21:53:56'
mysql-bin.000473 > 473.sql
mysqlbinlog --database=[db_name] --start-datetime='2014-09-23 18:19:12' --stop-datetime='2014-09-25 21:53:56'
mysql-bin.000474 > 474sql
6.binlog生成的sql脚本导入:
待20140923.db_name导入到恢复测试库之后,将mysqlbinlog生成的sql脚本导入到数据库中:
mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name < 472.sql
mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name < 473.sql
mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name < 474.sql
7.导入完成后检查数据正确性:
大致看一下数据的情况,然后可以通过时间字段来看一下情况:
mysql> select max(createtime),max(updatetime) from table_name;
+-----------------+-----------------+
| max(createtime) | max(updatetime) |
+-----------------+-----------------+
| 1411648043 | 1411648043 |
+-----------------+-----------------+
1 row in set (0.00 sec)
时间差不多为 晚上20:27了
这个判断,作为DBA,查看部分数据,只能起到辅助作用,具体的需要 到底是否OK,需要业务开发的人来判断。
经过业务开发确认后,即可将该数据导出后,再导入到线上主库中。
8、将该库导出,并压缩:
mysqldump -uroot -pxxxxxx -S /tmp/mysql.sock -q db_name table_name > table_name.sql
压缩: gzip table_name.sql
scp 到主库 (复制的时候,请将网络因素考虑进去,确认不会占用过多带宽而影响其他线上业务)
9.恢复测试的数据导入到线上主库中:
线上主库操作:
操作之前,最好让开发把应用业务那段先暂停,否则可能会影响导入。比如这个表示MyISAM的,应用那边如果不听有update进来,就会阻塞数据导入。
a、主库将原始被篡改的表改名:(不要上来就drop,先rename,后续确认没问题了再考虑drop,因为很多问题不是一瞬间就能全部反映上来的)
rename table_name to old_table_name;
b、解压:
gunzip table_name.sql.gz
c、导入新表数据:
mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name < table_name.sql
后面就需要开发来进一步验证数据是否 OK 了。 验证没问题后,再启动应用程序。
(责任编辑:IT) |