故障处理——生产环境mysql数据库被黑客攻击的处理过程

故障名称

mysql数据库被黑客DROP

故障发生时间

2019-11-29 04:45:49

故障描述

1、生产环境数据库pro丢失。
2、生产环境生成了一个新的数据库，库名是 PLEASE_READ_ME_VVV。里面有一张WARNING表，内容大意是所要比特币，并发送到指定的链接地址。

故障分析

1、很明显数据库是被黑客攻击了。到服务器上去找不到mysql的数据库数据文件，数据库要么是从数据库Dorp掉的，还有一种可能是黑客登录到服务器上删除了mysql的数据文件。
2、通过查看mysql的binlog日志和服务器的安全日志可以得出结论，黑客是通过远程登录mysql后，Drop掉的数据库。而不是登录的服务器。
3、因业务需要确实在公网开放了mysql的端口,而黑客正式通过在公网开放的mysql端口，暴力破解的mysql的账号和密码。DROP 掉了生产数据库，并添加了一个 PLEASE_READ_ME_VVV的数据库。

处理过程

.1、通过数据库的从库导出一份sql文件。因为从库的数据仅仅同步了2天的主库，因此数据并不完整。因此还需要主库的binlog日志文件。
2、被黑的数据库是不敢用了，另外找了一台服务器，重新安装了mysql服务，经原从库导出的sql在新的mysql中执行一遍，这样有了最原始的数据。
3、将原主库的binlog日志文件转换成sql文件。mysqlbinlog binlog 文件名 -r sql文件名。在新的mysql中执行由binlog日志转换的sql文件。但因为binlog日志也并不完整，也只恢复了大部分数据，还有一部分没有恢复，只能靠研发的兄弟去根据用户的反馈来修改数据了。

经验总结

1、绝不要在公网开往mysql端口！即使密码再复杂也不要在公网开放mysql端口！
2、绝不要在公网开放mysql端口！即使密码再复杂也不要在公网开放mysql端口！
3、绝不要在公网开放mysql端口！即使密码再复杂也不要在公网开放mysql端口！
4、数据库要做好主从并开启binlog日志文件之后在上线服务。