MySQL数据库遭到攻击篡改(使用备份和binlog进行数据恢复)
本文主要描述了MySQL遭到攻击篡改数据,利用从库的备份和主库的binlog进行不完全恢复。
欢迎转载,请注明作者、出处。
作者:张正
QQ:176036317
如有疑问,欢迎联系。
一、发现问题
今天是2014-09-26,开发大清早就说昨晚数据库遭到了攻击。数据库中某文章表的文章内容字段遭到篡改,全部改成了同一篇文章。
通过查看日制发现数据是在2014-09-2521:53:57遭到篡改。
所有的内容全部被改成了如下:
subject:桂林阳朔自助游 content: 一直都是自助游,从不喜欢?团。去之前都是在网上做足了功课,真的是很感谢那些写游记写攻略的朋友。所以,现在也想把自己的体会和经验写出来,和大家分享,希望对后来的朋友有帮助。 此处省略n字。。。。。
二、解决方法
这个库我们是每天凌晨备份,保留30天的备份。主库的binlog保留时间为7天。
因此很容易想到的方法是将从库2014-09-25凌晨的备份拿出来恢复,然后通过主库的binlog通过时间段来筛选出凌晨至2014-09-2521:53:56的所有更改,之后的数据,经业务确认,可以舍弃掉。或者后面再通过其他方法慢慢将这部分数据找出来。但是当务之急,是立马恢复数据库。
三、找备份及时间点
在备份的从库上检查备份:
crontab-l
#03***/data/opdir/mysqlbak/backup_mysqldump.sh6084>>/data/opdir/mysqlbak/6084/mysql-bakup.log2>&1
发现备份任务让注释了
查看备份文件:
[root@localhost6084]#ll
total128
drwxr-xr-x2rootroot4096Aug2503:1320140825
drwxr-xr-x2rootroot4096Aug2603:1320140826
drwxr-xr-x2rootroot4096Aug2703:1320140827
drwxr-xr-x2rootroot4096Aug2803:1320140828
drwxr-xr-x2rootroot4096Aug2903:1320140829
drwxr-xr-x2rootroot4096Aug3003:1320140830
drwxr-xr-x2rootroot4096Aug3103:1320140831
drwxr-xr-x2rootroot4096Sep103:1320140901
drwxr-xr-x2rootroot4096Sep203:1320140902
drwxr-xr-x2rootroot4096Sep303:1320140903
drwxr-xr-x2rootroot4096Sep403:1320140904
drwxr-xr-x2rootroot4096Sep503:1320140905
drwxr-xr-x2rootroot4096Sep603:1320140906
drwxr-xr-x2rootroot4096Sep703:1320140907
drwxr-xr-x2rootroot4096Sep803:1320140908
drwxr-xr-x2rootroot4096Sep903:1320140909
drwxr-xr-x2rootroot4096Sep1003:1320140910
drwxr-xr-x2rootroot4096Sep1103:1320140911
drwxr-xr-x2rootroot4096Sep1203:1320140912
drwxr-xr-x2rootroot4096Sep1303:1320140913
drwxr-xr-x2rootroot4096Sep1403:1320140914
drwxr-xr-x2rootroot4096Sep1503:1320140915
drwxr-xr-x2rootroot4096Sep1603:1320140916
drwxr-xr-x2rootroot4096Sep1703:1320140917
drwxr-xr-x2rootroot4096Sep1803:1420140918
drwxr-xr-x2rootroot4096Sep1903:1420140919
drwxr-xr-x2rootroot4096Sep2003:1320140920
drwxr-xr-x2rootroot4096Sep2103:1320140921
drwxr-xr-x2rootroot4096Sep2203:1420140922
drwxr-xr-x2rootroot4096Sep2318:3320140923
-rw-r--r--1rootroot5475Sep2318:33mysql-bakup.log
备份只到20140923日,下午18:33分。
备份日志最后一段截取:tail-n5mysql-bakup.log
deletingbackupof30daysago--20140824
2014-09-2318:19:12beginbackup...
20140824deletedOK
2014-09-2318:33:43endbackup...
因为这些表是在从库备份的,而且表都是MyiSAM的表。查看备份脚本,是先stopslave之后,才开始备份,因此从备份脚本输出的日志中找到备份开始的时间是:
2014-09-2318:19:12
通过:drwxr-xr-x2rootroot4096Sep2318:3320140923
可看到结束时间是:2014-09-2318:33:00
现在考虑到底是以备份开始的时间:2014-09-2318:19:12为start-datetime还是以2014-09-2318:33:00为start-datetime。
前面提到备份脚本是从库进行备份的,是在2014-09-2318:19:12开始的,在这个时刻备份开始,执行了stopslave;因此整个备份的状态反映的是从库2014-09-2318:19:12这个时间的状态。而且通过监控可以看到在这个时间点,从库的延迟为0,因此可以认为这个备份就是主库在这个时间的备份。
NOTES:
(有人可能会因为从库上有binlog,从库也会接受主库的binlog之类的机制而造成混淆。这里要结合我们具体的备份方式和恢复方式来看,以选出正确的时间点。)
前面提到通过日志查到遭到篡改的时间为:2014-09-2521:53:57,因此可以将2014-09-2521:53:56作为stop-datetime
因此binlog命令应该是这样:
mysqlbinlog--database=[db_name]--start-datetime='2014-09-2318:19:12'--stop-datetime='2014-09-2521:53:56'
[binlog_name]>binlog_name0000x.sql
四、具体的恢复操作
清楚了这些,具体的操作就简单了:
1.从备份机拷贝备份:
scp<备份机IP>:/data/mysqlbak/20140923/20140923.db_name.gz<恢复测试机IP>:/data/opdir/20140926
2.恢复测试机解压:
gunzip20140923.db_name.gz
3.恢复测试机导入(测试恢复库中之前没有db_name这个库):
mysql-uroot-pxxxxxx-S/tmp/mysql.sock<20140923.db_name
4.将主库的binlog拷贝到恢复测试机:
查看主库binlog
-rw-rw----1mysqlmysql 87669492Sep2300:00mysql-bin.000469
-rw-rw----1mysqlmysql268436559Sep2304:20mysql-bin.000470
-rw-rw----1mysqlmysql268435558Sep2317:32mysql-bin.000471
-rw-rw----1mysqlmysql 37425262Sep2400:00mysql-bin.000472
-rw-rw----1mysqlmysql137389819Sep2500:00mysql-bin.000473
-rw-rw----1mysqlmysql147386521Sep2600:00mysql-bin.000474
我们需要的binlog时间段为:2014-09-2318:28:00至2014-09-2521:53:56
因此只需要:
-rw-rw----1mysqlmysql 37425262Sep2400:00mysql-bin.000472
-rw-rw----1mysqlmysql137389819Sep2500:00mysql-bin.000473
-rw-rw----1mysqlmysql147386521Sep2600:00mysql-bin.000474
将这3个binlog copy过去:
scpmysql-bin.000472<恢复测试机IP>:/data/opdir/20140926
scpmysql-bin.000473<恢复测试机IP>:/data/opdir/20140926
scpmysql-bin.000474<恢复测试机IP>:/data/opdir/20140926
5.使用mysqlbinlog生成sql脚本:
mysqlbinlog--database=[db_name]--start-datetime='2014-09-2318:19:12'--stop-datetime='2014-09-2521:53:56'
mysql-bin.000472>472.sql
mysqlbinlog--database=[db_name]--start-datetime='2014-09-2318:19:12'--stop-datetime='2014-09-2521:53:56'
mysql-bin.000473>473.sql
mysqlbinlog--database=[db_name]--start-datetime='2014-09-2318:19:12'--stop-datetime='2014-09-2521:53:56'
mysql-bin.000474>474sql
6.binlog生成的sql脚本导入:
待20140923.db_name导入到恢复测试库之后,将mysqlbinlog生成的sql脚本导入到数据库中:
mysql-uroot-pxxxxxx-S/tmp/mysql.sockdb_name<472.sql
mysql-uroot-pxxxxxx-S/tmp/mysql.sockdb_name<473.sql
mysql-uroot-pxxxxxx-S/tmp/mysql.sockdb_name<474.sql
7.导入完成后检查数据正确性:
大致看一下数据的情况,然后可以通过时间字段来看一下情况:
mysql>selectmax(createtime),max(updatetime)fromtable_name;
+-----------------+-----------------+
|max(createtime)|max(updatetime)|
+-----------------+-----------------+
| 1411648043| 1411648043|
+-----------------+-----------------+
1rowinset(0.00sec)
时间差不多为晚上20:27了
这个判断,作为DBA,查看部分数据,只能起到辅助作用,具体的需要到底是否OK,需要业务开发的人来判断。
经过业务开发确认后,即可将该数据导出后,再导入到线上主库中。
8、将该库导出,并压缩:
mysqldump-uroot-pxxxxxx-S/tmp/mysql.sock-qdb_nametable_name>table_name.sql
压缩:
gziptable_name.sql
scp到主库(复制的时候,请将网络因素考虑进去,确认不会占用过多带宽而影响其他线上业务)
9.恢复测试的数据导入到线上主库中:
线上主库操作:
操作之前,最好让开发把应用业务那段先暂停,否则可能会影响导入。比如这个表示MyISAM的,应用那边如果不听有update进来,就会阻塞数据导入。
a、主库将原始被篡改的表改名:(不要上来就drop,先rename,后续确认没问题了再考虑drop,因为很多问题不是一瞬间就能全部反映上来的)
renametable_nametoold_table_name;
b、解压:
gunziptable_name.sql.gz
c、导入新表数据:
mysql-uroot-pxxxxxx-S/tmp/mysql.sockdb_name<table_name.sql
后面就需要开发来进一步验证数据是否OK了。验证没问题后,再启动应用程序。