All your data is backed up. You must pay 0.0122 BTC to bc1qjyqpx44wpajkt884jn3x4qmhme342j9xdzqrct In 48 hours, your data will be publicly disclosed and deleted. (more information: go to http://XXXXXX)
你的所有数据都被备份了。你必须支付 0.0122 BTC 到 ********************* 在 48 小时内,你的数据将被公开披露并删除。(更多信息:请访问 http:XXXXX)
新手在服务器上部署mysql服务后过段时间忽然发现所有数据都没有了,留下来一个数据库和一张表 表中内容如上 库名是 PLEASE_READ_ME_VVV。里面有一张WARNING表,内容大意是所要比特币,并发送到指定的链接地址
1.描述分析
1.很明显数据库是被黑客攻击了。到服务器上去找不到mysql的数据库数据文件,数据库要么是从数据库Dorp掉的,还有一种可能是黑客登录到服务器上删除了mysql的数据文件。
2、通过查看mysql的binlog日志和服务器的安全日志可以得出结论,黑客是通过远程登录mysql后,Drop掉的数据库。而不是登录的服务器。
3、因业务需要确实在公网开放了mysql的端口,而黑客正式通过在公网开放的mysql端口,暴力破解的mysql的账号和密码。DROP 掉了生产数据库,并添加了一个 PLEASE_READ_ME_VVV的数据库。
2.解决过程
.1、通过数据库的从库导出一份sql文件。因为从库的数据仅仅同步了2天的主库,因此数据并不完整。因此还需要主库的binlog日志文件。
2、被黑的数据库是不敢用了,另外找了一台服务器,重新安装了mysql服务,经原从库导出的sql在新的mysql中执行一遍,这样有了最原始的数据。
3、将原主库的binlog日志文件转换成sql文件。mysqlbinlog binlog 文件名 -r sql文件名。在新的mysql中执行由binlog日志转换的sql文件。但因为binlog日志也并不完整,也只恢复了大部分数据,还有一部分没有恢复,只能靠研发的兄弟去根据用户的反馈来修改数据了
3.经验总结
1、绝不要在公网开往mysql端口!即使密码再复杂也不要在公网开放mysql端口!
2、安全组是放行了全部端口,并允许所有人登录,这种相当于对外不设防,很容易遭到入侵,3306、6379这类端口放行公网的话,极易被黑客扫描爆破
3、绝不要在公网开放mysql端口!即使密码再复杂也不要在公网开放mysql端口!
4、数据库要做好主从并开启binlog日志文件之后在上线服务。
5.勒索病毒的话目前没有有效的解密方案,因为因为每种勒索病毒的加密方式均不同,这种情况下恢复类似于破译密码,建议您在先做好当前时间点的快照备份
扫一扫
5136
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
