當MySQL數據庫遭到攻擊篡改后，使用備份和binlog進行數據恢復

本文主要描述了MySQL遭到攻擊篡改數據，利用從庫的備份和主庫的Binlog進行不完全恢復。 

一、發現問題

今天是2014-09-26，開發大清早就說昨晚數據庫遭到了攻擊。數據庫中某文章表的文章內容字段遭到篡改，全部改成了同一篇文章。

通過查看日制 發現 數據是在 2014-09-25 21:53:57 遭到篡改。

所有的內容全部被改成了如下：

我把文章貼出來，先譴責一下，很可能是某旅游社的人為了打廣告 雇人干的。

二、解決方法

這個庫我們是每天凌晨備份，保留30天的備份。主庫的Binlog保留時間為7天。

因此很容易想到的方法是將從庫2014-09-25凌晨的備份拿出來恢復，然后通過主庫的Binlog通過時間段來篩選出凌晨至2014-09-25 21:53:56的所有更改，之后的數據，經業務確認，可以舍棄掉。或者后面再通過其他方法慢慢將這部分數據找出來。但是當務之急，是立馬恢復數據庫。

三、找備份及時間點

在備份的從庫上檢查備份：

crontab -l 
#0 3 * * * /data/opdir/mysqlbak/backup_mysqldump.sh 6084 >> /data/opdir/mysqlbak/6084/mysql-bakup.log 2>&1

發現備份任務讓注釋了

查看備份文件：

[root@localhost 6084]# ll
total 128
drwxr-xr-x 2 root root 4096 Aug 25 03:13 20140825
drwxr-xr-x 2 root root 4096 Aug 26 03:13 20140826
drwxr-xr-x 2 root root 4096 Aug 27 03:13 20140827
drwxr-xr-x 2 root root 4096 Aug 28 03:13 20140828
drwxr-xr-x 2 root root 4096 Aug 29 03:13 20140829
drwxr-xr-x 2 root root 4096 Aug 30 03:13 20140830
drwxr-xr-x 2 root root 4096 Aug 31 03:13 20140831
drwxr-xr-x 2 root root 4096 Sep  1 03:13 20140901
drwxr-xr-x 2 root root 4096 Sep  2 03:13 20140902
drwxr-xr-x 2 root root 4096 Sep  3 03:13 20140903
drwxr-xr-x 2 root root 4096 Sep  4 03:13 20140904
drwxr-xr-x 2 root root 4096 Sep  5 03:13 20140905
drwxr-xr-x 2 root root 4096 Sep  6 03:13 20140906
drwxr-xr-x 2 root root 4096 Sep  7 03:13 20140907
drwxr-xr-x 2 root root 4096 Sep  8 03:13 20140908
drwxr-xr-x 2 root root 4096 Sep  9 03:13 20140909
drwxr-xr-x 2 root root 4096 Sep 10 03:13 20140910
drwxr-xr-x 2 root root 4096 Sep 11 03:13 20140911
drwxr-xr-x 2 root root 4096 Sep 12 03:13 20140912
drwxr-xr-x 2 root root 4096 Sep 13 03:13 20140913
drwxr-xr-x 2 root root 4096 Sep 14 03:13 20140914
drwxr-xr-x 2 root root 4096 Sep 15 03:13 20140915
drwxr-xr-x 2 root root 4096 Sep 16 03:13 20140916
drwxr-xr-x 2 root root 4096 Sep 17 03:13 20140917
drwxr-xr-x 2 root root 4096 Sep 18 03:14 20140918
drwxr-xr-x 2 root root 4096 Sep 19 03:14 20140919
drwxr-xr-x 2 root root 4096 Sep 20 03:13 20140920
drwxr-xr-x 2 root root 4096 Sep 21 03:13 20140921
drwxr-xr-x 2 root root 4096 Sep 22 03:14 20140922
drwxr-xr-x 2 root root 4096 Sep 23 18:33 20140923
-rw-r--r-- 1 root root 5475 Sep 23 18:33 mysql-bakup.log

備份只到20140923日，下午18:33分。

備份日志最后一段截取：

tail -n 5 mysql-bakup.log 
deleting backup of 30 days ago -- 20140824 
2014-09-23 18:19:12 begin backup ...
20140824 deleted OK 
2014-09-23 18:33:43 end backup ...

因為這些表是在從庫備份的，而且表都是MyiSAM的表。查看備份腳本，是先Stop Slave之后，才開始備份，因此從備份腳本輸出的日志中找到備份開始的時間是：

2014-09-23 18:19:12

通過：

Drwxr-xr-x 2 root root 4096  Sep 23 18:33 20140923

可看到結束時間是：2014-09-23 18:33:00

現在考慮到底是以備份開始的時間：2014-09-23 18:19:12 為Start-DateTime還是以2014-09-23 18:33:00 為Start-DateTime。

前面 提到備份腳本是從庫進行備份的，是在2014-09-23 18:19:12開始的，在這個時刻備份開始，執行了Stop Slave；因此整個備份的狀態反映的是從庫2014-09-23 18:19:12 這個時間的狀態。而且通過監控可以看到在這個時間點，從庫的延遲為0，因此可以認為這個備份就是 主庫在這個時間的備份。

NOTES： 

（有人可能會因為從庫上有Binlog，從庫也會接受主庫的Binlog之類的機制而造成混淆。這里要結合我們具體的備份方式和恢復方式來看，以選出正確的時間點。）

前面提到通過日志查到遭到篡改的時間為：2014-09-25 21:53:57，因此可以將2014-09-25 21:53:56作為Stop-DateTime

因此Binlog命令應該是這樣：

mysqlbinlog --database=[db_name] --start-datetime='2014-09-23 18:19:12' --stop-datetime='2014-09-25 21:53:56' [binlog_name] > binlog_name0000x.sql 

四、具體的恢復操作

清楚了這些，具體的操作就簡單了：

1.從備份機拷貝備份：

scp <備份機IP>:/data/MySQLbak/20140923/20140923.db_name.gz <恢復測試機IP>:/data/opdir/20140926

2.恢復測試機 解壓：

gunzip 20140923.db_name.gz

3.恢復測試機導入(測試恢復庫中之前沒有db_name這個庫)：

mysql -uroot -pxxxxxx -S /tmp/mysql.sock < 20140923.db_name

4.將主庫的Binlog拷貝到恢復測試機：

查看主庫Binlog

-rw-rw---- 1 mysql mysql  87669492 Sep 23 00:00 mysql-bin.000469
-rw-rw---- 1 mysql mysql 268436559 Sep 23 04:20 mysql-bin.000470
-rw-rw---- 1 mysql mysql 268435558 Sep 23 17:32 mysql-bin.000471
-rw-rw---- 1 mysql mysql  37425262 Sep 24 00:00 mysql-bin.000472
-rw-rw---- 1 mysql mysql 137389819 Sep 25 00:00 mysql-bin.000473
-rw-rw---- 1 mysql mysql 147386521 Sep 26 00:00 mysql-bin.000474

 我們需要的Binlog時間段為：2014-09-23 18:28:00 至 2014-09-25 21:53:56 因此只需要：

-rw-rw---- 1 mysql mysql 37425262 Sep 24 00:00 mysql-bin.000472 
-rw-rw---- 1 mysql mysql 137389819 Sep 25 00:00 mysql-bin.000473 
-rw-rw---- 1 mysql mysql 147386521 Sep 26 00:00 mysql-bin.000474

將這3個Binlog  Copy過去：

scp mysql-bin.000472 <恢復測試機IP>:/data/opdir/20140926 
scp mysql-bin.000473 <恢復測試機IP>:/data/opdir/20140926 
scp mysql-bin.000474 <恢復測試機IP>:/data/opdir/20140926

5.使用MySQLBinlog 生成SQL腳本：

mysqlbinlog --database=[db_name] --start-datetime='2014-09-23 18:19:12' --stop-datetime='2014-09-25 21:53:56' mysql-bin.000472 > 472.SQL
mysqlbinlog --database=[db_name] --start-datetime='2014-09-23 18:19:12' --stop-datetime='2014-09-25 21:53:56' mysql-bin.000473 > 473.SQL
mysqlbinlog --database=[db_name] --start-datetime='2014-09-23 18:19:12' --stop-datetime='2014-09-25 21:53:56' mysql-bin.000474 > 474SQL

6.Binlog生成的SQL腳本導入：

待20140923.db_name導入到恢復測試庫之后，將MySQLBinlog生成的SQL腳本導入到數據庫中：

mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name < 472.sql 
mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name < 473.sql 
mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name < 474.sql

7.導入完成后檢查數據正確性：

大致看一下數據的情況，然后可以通過時間字段來看一下情況：

mysql> select max(createtime),max(updatetime) from table_name;
+-----------------+-----------------+
| max(createtime) | max(updatetime) |
+-----------------+-----------------+
|      1411648043 |      1411648043 |
+-----------------+-----------------+
1 row in set (0.00 sec)

時間差不多為 晚上20:27了

這個判斷，作為DBA，查看部分數據，只能起到輔助作用，具體的需要 到底是否OK，需要業務開發的人來判斷。

經過業務開發確認后，即可將該數據導出后，再導入到線上主庫中。

8、將該庫導出，并壓縮：

mysqldump -uroot -pxxxxxx -S /tmp/mysql.sock -q db_name table_name > table_name.sql 

壓縮：

gzip table_name.sql

scp 到主庫 （復制的時候，請將網絡因素考慮進去，確認不會占用過多帶寬而影響其他線上業務）

9.恢復測試的數據導入到線上主庫中：

線上主庫操作：

操作之前，最好讓開發把應用業務那段先暫停，否則可能會影響導入。比如這個表示MyISAM的，應用那邊如果不聽有update進來，就會阻塞數據導入。

a、主庫將原始被篡改的表改名：（不要上來就drop，先rename，后續確認沒問題了再考慮drop，因為很多問題不是一瞬間就能全部反映上來的）

rename table_name to old_table_name;

b、解壓：

gunzip -d table_name.sql.gz

c、導入新表數據：

mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name < table_name.sql

后面就需要開發來進一步驗證數據是否 OK 了。 驗證沒問題后，再啟動應用程序。

原文： http://blog.itpub.net/26355921/viewspace-1281757/ 作者： 張正