黑客删库...可怜肉鸡binlog恢复数据过程

背景介绍

*昨夜夜黑凤高~~*接了个个人项目，朋友发消息说服务连不上，查看日志报错xxx表不存在，what？查看表存在，定位权限不可见问题，重启解决，后来一晚上过去又报错，然后再去查看库下所有表都被干掉了,GG,
黑客攻击场景 针对db 3306端口，及弱密码进行肉鸡暴力攻击，表象为：数据库被清空后插入一个WARNING表，包括邮件、比特币、留言字段，有些人可能会在某些目录发现一个readMe之类的，而本次攻击留下了一个叫“PLEASE_READ_ME”的库，这原因是因为另外一哥们不会处理账户远程连接问题，直接开启了跳过授权。。猝

进行修改密码及删库

类似的攻击者文章：
linux入门-mysql安全防范
谁会是下一个受害者？历数数据库黑客新闻
下一个猎杀目标：近期大量MySQL数据库遭勒索攻击

如何规避

1. 强密码 ，不要偷懒，等被删库你就知道了~；
2. 不允许远程连接，不过大部分都为了方便，可以加入ssh认证进行连接 ；
3. 避免使用 3306 端口；
4. 避免密码相同的撞库原则；

处理过程

使用binlog2sql

具体工具使用点这里

注意：如果是未修改过binLog模式，默认是混合模式mixed，混合模式针对根据主键或navicat等工具界面化删除无法生成回滚语句；

具体binlog2sql原理参考

总结来讲使用命令如下：

python binlog2sql.py -h127.0.0.1 -P3306 -uroot -p'Meishemima123' -dRechargeCode --start-file='mysql-bin.000015' --end-file='mysql-bin.000018' --stop-datetime='2019-12-19 23:43:41' > rollback.sql

其他的应该一看就知道，就不细说了，复制修改即可用，相信你现在在看也是想立马能用；

• -d 为数据库名称

辅助命令
远程无法连接情况，直接进入mysql命令行执行：
source rollback.sql

后续处理

我就不复制了，格式不好看，参考这个：
mysql安全规范

其他同类处理方式：
https://blog.csdn.net/a1010256340/article/details/80306952
https://www.jianshu.com/p/b68aea06bcbd