当MySQL数据库遭到攻击篡改后,使用备份和binlog进行数据恢复
本文主要描述了MySQL遭到攻击篡改数据,利用从库的备份和主库的Binlog进行不完全恢复。
一、发现问题今天是2014-09-26,开发大清早就说昨晚数据库遭到了攻击。数据库中某文章表的文章内容字段遭到篡改,全部改成了同一篇文章。
通过查看日制 发现 数据是在 2014-09-25 21:53:57 遭到篡改。
所有的内容全部被改成了如下:
我把文章贴出来,先谴责一下,很可能是某旅游社的人为了打广告 雇人干的。
二、解决方法这个库我们是每天凌晨备份,保留30天的备份。主库的Binlog保留时间为7天。
因此很容易想到的方法是将从库2014-09-25凌晨的备份拿出来恢复,然后通过主库的Binlog通过时间段来筛选出凌晨至2014-09-25 21:53:56的所有更改,之后的数据,经业务确认,可以舍弃掉。或者后面再通过其他方法慢慢将这部分数据找出来。但是当务之急,是立马恢复数据库。
三、找备份及时间点在备份的从库上检查备份:
#0 3 * * * /data/opdir/mysqlbak/backup_mysqldump.sh 6084 /data/opdir/mysqlbak/6084/mysql-bakup.log 2 1
因为这些表是在从库备份的,而且表都是MyiSAM的表。查看备份脚本,是先Stop Slave之后,才开始备份,因此从备份脚本输出的日志中找到备份开始的时间是:
2014-09-23 18:19:12通过:
Drwxr-xr-x 2 root root 4096 Sep 23 18:33 20140923可看到结束时间是:2014-09-23 18:33:00
现在考虑到底是以备份开始的时间:2014-09-23 18:19:12 为Start-DateTime还是以2014-09-23 18:33:00 为Start-DateTime。
前面 提到备份脚本是从库进行备份的,是在2014-09-23 18:19:12开始的,在这个时刻备份开始,执行了Stop Slave;因此整个备份的状态反映的是从库2014-09-23 18:19:12 这个时间的状态。而且通过监控可以看到在这个时间点,从库的延迟为0,因此可以认为这个备份就是 主库在这个时间的备份。
NOTES:
(有人可能会因为从库上有Binlog,从库也会接受主库的Binlog之类的机制而造成混淆。这里要结合我们具体的备份方式和恢复方式来看,以选出正确的时间点。)
前面提到通过日志查到遭到篡改的时间为:2014-09-25 21:53:57,因此可以将2014-09-25 21:53:56作为Stop-DateTime
因此Binlog命令应该是这样:
mysqlbinlog --database=[db_name] --start-datetime=2014-09-23 18:19:12 --stop-datetime=2014-09-25 21:53:56 [binlog_name] binlog_name0000x.sql 四、具体的恢复操作
清楚了这些,具体的操作就简单了:
1.从备份机拷贝备份:scp 备份机IP :/data/MySQLbak/20140923/20140923.db_name.gz 恢复测试机IP :/data/opdir/20140926 2.恢复测试机 解压:
gunzip 20140923.db_name.gz 3.恢复测试机导入(测试恢复库中之前没有db_name这个库):
mysql -uroot -pxxxxxx -S /tmp/mysql.sock 20140923.db_name 4.将主库的Binlog拷贝到恢复测试机:
查看主库Binlog
我们需要的Binlog时间段为:2014-09-23 18:28:00 至 2014-09-25 21:53:56 因此只需要:
mysqlbinlog --database=[db_name] --start-datetime=2014-09-23 18:19:12 --stop-datetime=2014-09-25 21:53:56 mysql-bin.000472 472.SQL
mysqlbinlog --database=[db_name] --start-datetime=2014-09-23 18:19:12 --stop-datetime=2014-09-25 21:53:56 mysql-bin.000473 473.SQL
mysqlbinlog --database=[db_name] --start-datetime=2014-09-23 18:19:12 --stop-datetime=2014-09-25 21:53:56 mysql-bin.000474 474SQL
时间差不多为 晚上20:27了
这个判断,作为DBA,查看部分数据,只能起到辅助作用,具体的需要 到底是否OK,需要业务开发的人来判断。
经过业务开发确认后,即可将该数据导出后,再导入到线上主库中。
8、将该库导出,并压缩:mysqldump -uroot -pxxxxxx -S /tmp/mysql.sock -q db_name table_name table_name.sql
压缩:
gzip table_name.sql
scp 到主库 (复制的时候,请将网络因素考虑进去,确认不会占用过多带宽而影响其他线上业务)
9.恢复测试的数据导入到线上主库中:线上主库操作:
操作之前,最好让开发把应用业务那段先暂停,否则可能会影响导入。比如这个表示MyISAM的,应用那边如果不听有update进来,就会阻塞数据导入。
a、主库将原始被篡改的表改名:(不要上来就drop,先rename,后续确认没问题了再考虑drop,因为很多问题不是一瞬间就能全部反映上来的)
rename table_name to old_table_name;
b、解压:
gunzip -d table_name.sql.gz
c、导入新表数据:
mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name table_name.sql
后面就需要开发来进一步验证数据是否 OK 了。 验证没问题后,再启动应用程序。
原文发布时间:2014-12-26
本文来自云栖合作伙伴“linux中国”
Mysql误删,恢复数据,binlog闪回,宝塔面板 binlog是二进制日志文件,用来记录Mysql内部对数据库的改动(只记录对数据的修改操作),主要用于数据库的主从复制以及增量恢复。 当我们搭建mysql主从复制的时候,两个实例之间也是通过binlog来完成数据的备份同步。 所以有这种根据binlog得到执行sql语句、闪回sql语句,我们只需要利用根据分析binlog,然后就可以找到准确的数据改动sql,并得到闪回sql,检查无误后执行就可以恢复数据了
MySQL 日志之 binlog 格式 → 关于 MySQL 默认隔离级别的探讨 背景问题 再讲 binlog 之前,我们先来回顾下主流关系型数据库的默认隔离级别,是默认隔离级别,不是事务有哪几种隔离级别,别会错题意了 1、Oracle、SQL Server 的默认隔离级别是什么,MySQL 的呢 ? 2、为什么 MySQL 的默认隔离级别是 RR ?
mysql中的undo log、redo log 、binlog大致概要 undo log(回滚日志)、redo log(重做日志) 、binlog (归档日志)undo log,事务的原子性,用于事务回滚和MVCC(存储层,记录查询类)redo log,事务的持久性,用于服务器宕机故障恢复(存储层,记录查询类)binlog,用于数据备份和主从复制(服务层,记录更新修改类)日志区别undo log事务开始前的数据值redo log事务完成后的数据值。
相关文章
- Mysql加锁过程详解(2)-关于mysql 幻读理解
- 【MySQL】Mysql 日志
- Mysql连接错误:Lost connection to Mysql server at 'waiting for initial communication packet'
- MySQL无法启动报 Error: could not open single-table tablespace file ./mysql/innodb_table_sta
- centos7 设置 mysql 登录密码
- [转]mysql写注释的几种方法
- 『浅入浅出』MySQL 和 InnoDB
- mysql只更新日期不更新时分秒,Mysql取30天内每天最大的数据
- python操作mysql数据库系列-操作MySql数据库(五)
- python操作mysql数据库系列-操作MySql数据库(三)
- Robot Framework - 操作 MySql 数据库
- Mysql 行列转换
- Mysql 查询优化
- 【MySQL】练习二 关系数据库
- Mysql 1290 - The MySQL server is running with the --secure-file-priv option