无为清净楼资源网 Design By www.qnjia.com

本文主要描述了MySQL遭到攻击篡改数据,利用从库的备份和主库的binlog进行不完全恢复。

欢迎转载,请注明作者、出处。
作者:张正
QQ:176036317
如有疑问,欢迎联系。

一、发现问题
今天是2014-09-26,开发大清早就说昨晚数据库遭到了攻击。数据库中某文章表的文章内容字段遭到篡改,全部改成了同一篇文章。

通过查看日制 发现 数据是在 2014-09-25 21:53:57 遭到篡改。
所有的内容全部被改成了如下:

复制代码 代码如下:
subject: 桂林阳朔自助游
    content:
          一直都是自助游,从不喜欢"color: #ff0000">drwxr-xr-x 2 root root 4096 Sep 23 18:33 20140923
-rw-r--r-- 1 root root 5475 Sep 23 18:33 mysql-bakup.log

备份只到20140923日,下午18:33分。

备份日志最后一段截取: tail -n 5 mysql-bakup.log

deleting backup of 30 days ago -- 20140824
2014-09-23 18:19:12 begin backup ...
20140824 deleted OK
2014-09-23 18:33:43 end backup ...

因为这些表是在从库备份的,而且表都是MyiSAM的表。查看备份脚本,是先stop slave之后,才开始备份,因此从备份脚本输出的日志中找到备份开始的时间是:
2014-09-23 18:19:12
通过:drwxr-xr-x 2 root root 4096 Sep 23 18:33 20140923
可看到结束时间是:2014-09-23 18:33:00

现在考虑到底是以备份开始的时间:2014-09-23 18:19:12 为start-datetime还是以2014-09-23 18:33:00 为start-datetime。
前面 提到备份脚本是从库进行备份的,是在2014-09-23 18:19:12开始的,在这个时刻备份开始,执行了stop slave;因此整个备份的状态反映的是从库2014-09-23 18:19:12 这个时间的状态。而且通过监控可以看到在这个时间点,从库的延迟为0,因此可以认为这个备份就是 主库在这个时间的备份。
NOTES:
(有人可能会因为从库上有binlog,从库也会接受主库的binlog之类的机制而造成混淆。这里要结合我们具体的备份方式和恢复方式来看,以选出正确的时间点。)

前面提到通过日志查到遭到篡改的时间为:2014-09-25 21:53:57,因此可以将2014-09-25 21:53:56作为stop-datetime

因此binlog命令应该是这样:
mysqlbinlog --database=[db_name] --start-datetime='2014-09-23 18:19:12' --stop-datetime='2014-09-25 21:53:56'
[binlog_name] > binlog_name0000x.sql


四、具体的恢复操作

清楚了这些,具体的操作就简单了:

1.从备份机拷贝备份:
scp <备份机IP>:/data/mysqlbak/20140923/20140923.db_name.gz <恢复测试机IP>:/data/opdir/20140926

2.恢复测试机 解压:
gunzip 20140923.db_name.gz

3.恢复测试机导入(测试恢复库中之前没有db_name这个库):
mysql -uroot -pxxxxxx -S /tmp/mysql.sock < 20140923.db_name

4.将主库的binlog拷贝到恢复测试机:
查看主库binlog
-rw-rw---- 1 mysql mysql  87669492 Sep 23 00:00 mysql-bin.000469
-rw-rw---- 1 mysql mysql 268436559 Sep 23 04:20 mysql-bin.000470
-rw-rw---- 1 mysql mysql 268435558 Sep 23 17:32 mysql-bin.000471
-rw-rw---- 1 mysql mysql  37425262 Sep 24 00:00 mysql-bin.000472
-rw-rw---- 1 mysql mysql 137389819 Sep 25 00:00 mysql-bin.000473
-rw-rw---- 1 mysql mysql 147386521 Sep 26 00:00 mysql-bin.000474

我们需要的binlog时间段为:2014-09-23 18:28:00 至 2014-09-25 21:53:56
因此只需要:
-rw-rw---- 1 mysql mysql  37425262 Sep 24 00:00 mysql-bin.000472
-rw-rw---- 1 mysql mysql 137389819 Sep 25 00:00 mysql-bin.000473
-rw-rw---- 1 mysql mysql 147386521 Sep 26 00:00 mysql-bin.000474
将这3个binlog  copy过去:
scp mysql-bin.000472 <恢复测试机IP>:/data/opdir/20140926
scp mysql-bin.000473 <恢复测试机IP>:/data/opdir/20140926
scp mysql-bin.000474 <恢复测试机IP>:/data/opdir/20140926

5.使用mysqlbinlog 生成sql脚本:
mysqlbinlog --database=[db_name] --start-datetime='2014-09-23 18:19:12' --stop-datetime='2014-09-25 21:53:56'
mysql-bin.000472 > 472.sql
mysqlbinlog --database=[db_name] --start-datetime='2014-09-23 18:19:12' --stop-datetime='2014-09-25 21:53:56'
mysql-bin.000473 > 473.sql
mysqlbinlog --database=[db_name] --start-datetime='2014-09-23 18:19:12' --stop-datetime='2014-09-25 21:53:56'
mysql-bin.000474 > 474sql

6.binlog生成的sql脚本导入:
待20140923.db_name导入到恢复测试库之后,将mysqlbinlog生成的sql脚本导入到数据库中:
mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name < 472.sql
mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name < 473.sql
mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name < 474.sql


7.导入完成后检查数据正确性:
大致看一下数据的情况,然后可以通过时间字段来看一下情况:
mysql> select max(createtime),max(updatetime) from table_name;
+-----------------+-----------------+
| max(createtime) | max(updatetime) |
+-----------------+-----------------+
|      1411648043 |      1411648043 |
+-----------------+-----------------+
1 row in set (0.00 sec)

时间差不多为 晚上20:27了
这个判断,作为DBA,查看部分数据,只能起到辅助作用,具体的需要 到底是否OK,需要业务开发的人来判断。
经过业务开发确认后,即可将该数据导出后,再导入到线上主库中。


8、将该库导出,并压缩:
mysqldump -uroot -pxxxxxx -S /tmp/mysql.sock -q db_name table_name > table_name.sql
压缩:
gzip table_name.sql
scp 到主库 (复制的时候,请将网络因素考虑进去,确认不会占用过多带宽而影响其他线上业务)


9.恢复测试的数据导入到线上主库中:
线上主库操作:
操作之前,最好让开发把应用业务那段先暂停,否则可能会影响导入。比如这个表示MyISAM的,应用那边如果不听有update进来,就会阻塞数据导入。
a、主库将原始被篡改的表改名:(不要上来就drop,先rename,后续确认没问题了再考虑drop,因为很多问题不是一瞬间就能全部反映上来的)
rename table_name to old_table_name;
b、解压:
gunzip table_name.sql.gz
c、导入新表数据:
mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name < table_name.sql

后面就需要开发来进一步验证数据是否 OK 了。 验证没问题后,再启动应用程序。

标签:
mysql,备份,binlog,数据恢复

无为清净楼资源网 Design By www.qnjia.com
广告合作:本站广告合作请联系QQ:858582 申请时备注:广告合作(否则不回)
免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件! 如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com
无为清净楼资源网 Design By www.qnjia.com

稳了!魔兽国服回归的3条重磅消息!官宣时间再确认!

昨天有一位朋友在大神群里分享,自己亚服账号被封号之后居然弹出了国服的封号信息对话框。

这里面让他访问的是一个国服的战网网址,com.cn和后面的zh都非常明白地表明这就是国服战网。

而他在复制这个网址并且进行登录之后,确实是网易的网址,也就是我们熟悉的停服之后国服发布的暴雪游戏产品运营到期开放退款的说明。这是一件比较奇怪的事情,因为以前都没有出现这样的情况,现在突然提示跳转到国服战网的网址,是不是说明了简体中文客户端已经开始进行更新了呢?