mysql备份binlog_MySQL使用备份和binlog进行数据恢复

最新推荐文章于 2023-10-18 18:28:49 发布
最新推荐文章于 2023-10-18 18:28:49 发布
阅读量110 收藏
点赞数
文章标签: mysql备份binlog
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39643679/article/details/113152322
版权

本文主要描述了MySQL遭到攻击篡改数据,利用从库的备份和主库的Binlog进行不完全恢复。

396116234229e8dab03c601643254945.png

一、发现问题

今天是2014-09-26,开发大清早就说昨晚数据库遭到了攻击。数据库中某文章表的文章内容字段遭到篡改,全部改成了同一篇文章。

通过查看日制 发现 数据是在 2014-09-25 21:53:57 遭到篡改。

所有的内容全部被改成了如下:

70dc36d8332d7e1ef6c812ee6863fc9d.png

我把文章贴出来,先谴责一下,很可能是某旅游社的人为了打广告 雇人干的。

二、解决方法

这个库我们是每天凌晨备份,保留30天的备份。主库的Binlog保留时间为7天。

因此很容易想到的方法是将从库2014-09-25凌晨的备份拿出来恢复,然后通过主库的Binlog通过时间段来筛选出凌晨至2014-09-25 21:53:56的所有更改,之后的数据,经业务确认,可以舍弃掉。或者后面再通过其他方法慢慢将这部分数据找出来。但是当务之急,是立马恢复数据库。

三、找备份及时间点

在备份的从库上检查备份:

crontab-l

#0 3 * * * /data/opdir/mysqlbak/backup_mysqldump.sh 6084 >> /data/opdir/mysqlbak/6084/mysql-bakup.log 2>&1

发现备份任务让注释了

查看备份文件:

[root@localhost6084]#ll

total128

drwxr-xr-x2root root4096Aug2503:1320140825

drwxr-xr-x2root root4096Aug2603:1320140826

drwxr-xr-x2root root4096Aug2703:1320140827

drwxr-xr-x2root root4096Aug2803:1320140828

drwxr-xr-x2root root4096Aug2903:1320140829

drwxr-xr-x2root root4096Aug3003:1320140830

drwxr-xr-x2root root4096Aug3103:1320140831

drwxr-xr-x2root root4096Sep103:1320140901

drwxr-xr-x2root root4096Sep203:1320140902

drwxr-xr-x2root root4096Sep303:1320140903

drwxr-xr-x2root root4096Sep403:1320140904

drwxr-xr-x2root root4096Sep503:1320140905

drwxr-xr-x2root root4096Sep603:1320140906

drwxr-xr-x2root root4096Sep703:1320140907

drwxr-xr-x2root root4096Sep803:1320140908

drwxr-xr-x2root root4096Sep903:1320140909

drwxr-xr-x2root root4096Sep1003:1320140910

drwxr-xr-x2root root4096Sep1103:1320140911

drwxr-xr-x2root root4096Sep1203:1320140912

drwxr-xr-x2root root4096Sep1303:1320140913

drwxr-xr-x2root root4096Sep1403:1320140914

drwxr-xr-x2root root4096Sep1503:1320140915

drwxr-xr-x2root root4096Sep1603:1320140916

drwxr-xr-x2root root4096Sep1703:1320140917

drwxr-xr-x2root root4096Sep1803:1420140918

drwxr-xr-x2root root4096Sep1903:1420140919

drwxr-xr-x2root root4096Sep2003:1320140920

drwxr-xr-x2root root4096Sep2103:1320140921

drwxr-xr-x2root root4096Sep2203:1420140922

drwxr-xr-x2root root4096Sep2318:3320140923

-rw-r--r--1root root5475Sep2318:33mysql-bakup.log

备份只到20140923日,下午18:33分。

备份日志最后一段截取:

tail-n5mysql-bakup.log

deleting backup of30days ago--20140824

2014-09-2318:19:12beginbackup...

20140824deleted OK

2014-09-2318:33:43endbackup...

因为这些表是在从库备份的,而且表都是MyiSAM的表。查看备份脚本,是先Stop Slave之后,才开始备份,因此从备份脚本输出的日志中找到备份开始的时间是:

2014-09-23 18:19:12

通过:

Drwxr-xr-x 2 root root 4096 Sep 23 18:33 20140923

可看到结束时间是:2014-09-23 18:33:00

现在考虑到底是以备份开始的时间:2014-09-23 18:19:12 为Start-DateTime还是以2014-09-23 18:33:00 为Start-DateTime。

前面 提到备份脚本是从库进行备份的,是在2014-09-23 18:19:12开始的,在这个时刻备份开始,执行了Stop Slave;因此整个备份的状态反映的是从库2014-09-23 18:19:12 这个时间的状态。而且通过监控可以看到在这个时间点,从库的延迟为0,因此可以认为这个备份就是 主库在这个时间的备份。

NOTES:

(有人可能会因为从库上有Binlog,从库也会接受主库的Binlog之类的机制而造成混淆。这里要结合我们具体的备份方式和恢复方式来看,以选出正确的时间点。)

前面提到通过日志查到遭到篡改的时间为:2014-09-25 21:53:57,因此可以将2014-09-2521:53:56作为Stop-DateTime

因此Binlog命令应该是这样:

mysqlbinlog--database=[db_name]--start-datetime='2014-09-23 18:19:12'--stop-datetime='2014-09-25 21:53:56'[binlog_name]>binlog_name0000x.sql

四、具体的恢复操作

清楚了这些,具体的操作就简单了:

1.从备份机拷贝备份:

scp:/data/MySQLbak/20140923/20140923.db_name.gz:/data/opdir/20140926

2.恢复测试机 解压:

gunzip20140923.db_name.gz

3.恢复测试机导入(测试恢复库中之前没有db_name这个库):

mysql-uroot-pxxxxxx-S/tmp/mysql.sock<20140923.db_name

4.将主库的Binlog拷贝到恢复测试机:

查看主库Binlog

-rw-rw----1mysql mysql87669492Sep2300:00mysql-bin.000469

-rw-rw----1mysql mysql268436559Sep2304:20mysql-bin.000470

-rw-rw----1mysql mysql268435558Sep2317:32mysql-bin.000471

-rw-rw----1mysql mysql37425262Sep2400:00mysql-bin.000472

-rw-rw----1mysql mysql137389819Sep2500:00mysql-bin.000473

-rw-rw----1mysql mysql147386521Sep2600:00mysql-bin.000474

我们需要的Binlog时间段为:2014-09-23 18:28:00 至 2014-09-25 21:53:56 因此只需要:

-rw-rw----1mysql mysql37425262Sep2400:00mysql-bin.000472

-rw-rw----1mysql mysql137389819Sep2500:00mysql-bin.000473

-rw-rw----1mysql mysql147386521Sep2600:00mysql-bin.000474

将这3个Binlog  Copy过去:

scp mysql-bin.000472:/data/opdir/20140926

scp mysql-bin.000473:/data/opdir/20140926

scp mysql-bin.000474:/data/opdir/20140926

5.使用MySQLBinlog 生成SQL脚本:

mysqlbinlog--database=[db_name]--start-datetime='2014-09-23 18:19:12'--stop-datetime='2014-09-25 21:53:56'mysql-bin.000472>472.SQL

mysqlbinlog--database=[db_name]--start-datetime='2014-09-23 18:19:12'--stop-datetime='2014-09-25 21:53:56'mysql-bin.000473>473.SQL

mysqlbinlog--database=[db_name]--start-datetime='2014-09-23 18:19:12'--stop-datetime='2014-09-25 21:53:56'mysql-bin.000474>474SQL

6.Binlog生成的SQL脚本导入:

待20140923.db_name导入到恢复测试库之后,将MySQLBinlog生成的SQL脚本导入到数据库中:

mysql-uroot-pxxxxxx-S/tmp/mysql.sock db_name<472.sql

mysql-uroot-pxxxxxx-S/tmp/mysql.sock db_name<473.sql

mysql-uroot-pxxxxxx-S/tmp/mysql.sock db_name<474.sql

7.导入完成后检查数据正确性:

大致看一下数据的情况,然后可以通过时间字段来看一下情况:

mysql>selectmax(createtime),max(updatetime)fromtable_name;

+-----------------+-----------------+

|max(createtime)|max(updatetime)|

+-----------------+-----------------+

|1411648043|1411648043|

+-----------------+-----------------+

1rowinset(0.00sec)

时间差不多为 晚上20:27了

这个判断,作为DBA,查看部分数据,只能起到辅助作用,具体的需要 到底是否OK,需要业务开发的人来判断。

经过业务开发确认后,即可将该数据导出后,再导入到线上主库中。

8、将该库导出,并压缩:

mysqldump-uroot-pxxxxxx-S/tmp/mysql.sock-q db_name table_name>table_name.sql

压缩:

gzip table_name.sql

scp 到主库 (复制的时候,请将网络因素考虑进去,确认不会占用过多带宽而影响其他线上业务)

9.恢复测试的数据导入到线上主库中:

线上主库操作:

操作之前,最好让开发把应用业务那段先暂停,否则可能会影响导入。比如这个表示MyISAM的,应用那边如果不听有update进来,就会阻塞数据导入。

a、主库将原始被篡改的表改名:(不要上来就drop,先rename,后续确认没问题了再考虑drop,因为很多问题不是一瞬间就能全部反映上来的)

rename table_name to old_table_name;

b、解压:

gunzip-d table_name.sql.gz

c、导入新表数据:

mysql-uroot-pxxxxxx-S/tmp/mysql.sock db_name

后面就需要开发来进一步验证数据是否 OK 了。 验证没问题后,再启动应用程序。

0b1331709591d260c1c78e86d0c51c18.png

weixin_39643679
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysqlbinlog_format模式与配置详细分析
09-09
主要介绍了mysqlbinlog_format模式与配置的相关内容,详细介绍了binlog的三种格式与SBR、 RBR 两种模式各自的优缺点,需要的朋友可以参考。
使用binlog日志恢复MySQL数据库删除数据的方法
01-11
本文主要通过实际操作说明对binlog日志恢复MySQL数据库删除数据的方法进行说明,内容主要包括MySQL数据库binlog日志查询、恢复等相关介绍,希望对大家在工作及生活中遇到的此类问题有所帮助,如需操作指导,可留言!
mysql binlog elk_【MySQL运维】binlog日志的管理与数据恢复
weixin_35988836的博客
01-18 192
在部署主从的时候已经知道MySQLbinlog文件记录了数据的每次变动,详细到了哪个主机在哪个时间点执行了哪些语句,有了这些语句就可以对数据进行还原。由于binlog是二进制文件,所以无法使用VI等编辑器直接打开,如果需要查看日志内容通常使用mysqlbinlog工具或者MySQL客户端的show binlog events命令。一、mysqlbinlog命令使用教程1、mysqlbinlog命...
mysqlbinlog --database选项注意事项
weixin_34239592的博客
11-02 520
mysqlbinlog查询时通过--database=db1选项指定某一具体数据库时,使用statement log模式只有在显示输入use db1之后的语句才会被mysqlbinlog输出。如:INSERT INTO test.t1 (i) VALUES(100);INSERT INTO db2.t2 (j) VALUES(200);USE test;INSERT I...
为什么mysqlbinlog --database选项不起作用
a86793222的博客
10-26 790
群里看到有同学提问,多瞅了眼 [root@mysql55 mysql]# mysqlbinlog --no-defaults -vv --base64-output=decode-rows mysql-bin.000004 --skip-gtids ... # at 3370 #171026 10:06:36 server id 1 end_log_pos 3465 ...
mysql binlog详解
热门推荐
_好人的博客
11-25 4万+
一、初步了解binlog   1、MySQL的二进制日志binlog可以说是MySQL最重要的日志,它记录了所有的DDL和DML语句(除了数据查询语句select),以事件形式记录,还包含语句所执行的消耗的时间,MySQL的二进制日志是事务安全型的。     a、DDL       ----Data Definition Language 数据库定义语言       主要的命令有create、alter、drop等,ddl主要是用在定义或改变表(table)的结构,数据类型,表之间的连接和约束等初.
mysql-binlog(二)mysqlbinlog命令
w_t_y_y的博客
03-16 5313
一、命令: 我的mysql5.1配置文件在C:\Program Files\MySQL\MySQL Server 5.1下,而数据目录在C:\ProgramData\MySQL\MySQL Server 5.1\data下。 1、读取日志并输出到屏幕上: 如查询2022-03-1509:00:00到2022-03-1620:00:00数据库为 test的操作日志,并输出到屏幕上 报错: 1、使用mysqlbinlog命令报错ERROR: Error in Log_event::read_...
MySQL数据库遭到攻击篡改(使用备份binlog进行数据恢复)
09-10
主要介绍了MySQL数据库遭到攻击篡改(使用备份binlog进行数据恢复),需要的朋友可以参考下
mysql如何利用binlog进行数据恢复详解
12-16
最近线上误操作了一个数据,由于是直接修改的数据库,所有唯一的恢复方式就在mysqlbinlogbinlog使用的是ROW模式,即受影响的每条记录都会生成一个sql。同时利用了binlog2sql项目。 MySQL Binary Log也就是常说的...
mysql灾备_mysql灾备演练问题
weixin_39855706的博客
01-18 154
前期写的mysql备份脚本恢复,还没有正式用到过,但是今天演练灾备恢复,但是遇到几个问题。测试环境:搭建mysql,安装xtrabackupvim /etc/yum.repos.d/Percona.repo[percona]name = CentOS $releasever - Perconabaseurl=http://repo.percona.com/centos/$releasever/o...
mysqlbinlog工具
01-20
mysqlbinlog用于处理二进制日志文件的实用工具详解mysqlbinlog 从二进制日志读取语句的工具。在二进制日志文件中包含的执行过的语句的日志可用来帮助从崩溃中恢复
MYSQL使用全备+binlog恢复数据库
一个只求实际的程序猿
10-02 505
MYSQL使用全备+binlog恢复数据库
mysqlbinlog命令的备份恢复
weixin_59855996的博客
03-24 291
mysql的二进制日志记录着该数据库的所有增删改的操作日志(前提是要在自己的服务器上开启binlog),还包括 了这些操作的执行时间。为了显示这些二进制内容,我们可以使用mysqlbinlog命令来查看
Mysql配置binlog并实现数据库备份恢复
Blueeyedboy521的博客
06-24 911
前提是有一次完整的备份文件,先通过还原工具把备份文件还原回去,然后再通过bin-log日志恢复上次备份之后发生的数据。 三、开启binlog 1、 查看状态 修改MySQL配置(my.cnf) vi /etc/my.cnf配置如下: 3、重启mysql 4、验证是否开启binlog 参考:docker定时备份mysql-定时备份docker中mysql的数据 七、还原备份 1、创建库 参考之前建库语句 3、查看结果 常用选项: –start-position=55 起始pos点 –stop-p
mysql使用binlog备份
qq_36923648的博客
02-21 3738
一、bin-log备份作用 二、开启bin-log 设置配置文件my.inf 配置文件中加入以下内容 log-bin=/var/lib/mysql/mysql-bin //开启并设置备份文件目录,以及备份命名格式 server-id=1 //集群中数据库服务器的唯一id,非集群环境可随意调写。mysql5.7以上版本需填写 其他可选配置项举例 binlog_format =mixed expire_logs_days = 10 三、使用bin-log恢复数据 查看binlog文件
MySQL高可用和灾备调研
Daphnis的博客
05-04 4073
1.高可用和灾备方案概览 高可用方案的评价以组件能正常对外提供服务为主,而灾备方案的评价以数据稳定同步和恢复时间尽量短为主,其他的还要求方案实现起来较简单,后期运维服务压力较小等。 当下业界比较流行的 mysql高可用灾备方案是主从复制和 galera,这里先对所有的方案进行简要介绍,然后详细介绍 基于主从复制这一种方案。 1.1 主从复制 使用双节点数据库,搭建单向或者双向的半同步复制(semi sync replication)。在 5.7以后的版本中,由于 lossless replication、
MySQL-binlog+dump备份还原
大虾好吃吗
04-02 2951
MySQL备份一般采取全库备份加日志备份的方式,例如每天执行一次全备份,每小时执行一次二进制日志备份。这样在MySQL故障后可以使用备份和日志备份数据恢复到最后一个二进制日志备份前的任意位置或时间。
数据库备份恢复(实战mysqldump+bin-log
最新发布
菜鸟的博客
10-18 1477
指定dump所有数据库。等价于使用--databases选定所有库。
使用mysqlbinlog 备份 binlog日志文件
pang_2899的博客
06-18 1796
使用mysqlbinlog 命令进行binlog 日志文件的备份及实时备份功能。
修改mysql数据库max_binlog_cache_size的值
05-18
1. 登录MySQL数据库使用以下命令查看当前的max_binlog_cache_size值: ``` SHOW VARIABLES LIKE 'max_binlog_cache_size'; ``` 2. 使用以下命令修改max_binlog_cache_size值(将值设置为你需要的大小,以MB为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值