财务数据库被锁死,用户没有部署CDP持续数据保护产品时,如果想要恢复数据,只能乖乖地缴纳赎金。
这绝非危言耸听,下面这位用户的Oracle数据库被恶意锁死时,就出现了下面的缴纳赎金的提示:
幸运的是,用户没有向对方支付赎金,而是通过英方部署的i2CDP产品,快速恢复了被锁的Oracle的数据。
下面,我们就一起复盘这次安全事故的整个过程。
系统停止运行>>>
6月的某个周二,用户上班启动服务器后,发现财务系统出现问题,应用报错且重器服务器后问题依然存在,业务不得不停摆,并通知英方工程师请求恢复系统。
故障排查>>>
英方工程师接到协助信息后立马赶往现场,经过仔细的排查,业务故障出现是因为Oracle数据库已经被锁死,实例已经无法启动,进而导致财务系统的服务器无法使用,并在trace日志里检查到数据库被恶意锁死的证据,截图如上。
系统恢复过程>>>
很显然数据库被恶意代码锁死,我们需要将数据库恢复到能正常运行的状态。
首先,定位恢复时间点
英方i2CDP能将数据恢复至任意历史点,在定位恢复时间点时,有两个原则:一是恢复时间点在什么时间才能恢复数据库的正常运行;二是尽量不丢数据。
根据用户上班时间及工作人员反馈,财务系统在周一下班时还能正常运行,而周二上班时发现异常,所以根据英方i2CDP任意时间点恢复的技术特征,我们可以将恢复时间点定位在周一下班18:00时刻。
其次,协商恢复计划
1、先让备机接管业务,再恢复主机。由于备机与主机的数据库是实时同步的关系,所以主机的数据库异常状态会复制到备机,备机需要先做数据恢复。
2、备份主机的当前数据,作为原始副本保留。
3、用户出于希望彻底解决顾虑及问题,决定重做主机的整个系统。
4、待主机系统和数据库环境安装完后,恢复数据。
第三,备机接管服务
登录英方统一灾备管理平台,选择任意时间点恢复,选择备机数据恢复到周一的18:00,如下图。
恢复完成后,在高可用页面执行切换。
备机切换完成后,对外提供服务IP和Oracle服务,财务系统能正常登陆,检查财务数据完整。
最后,恢复主机数据
主机重新安装完操作系统和数据库应用后,与恢复数据到备机类似,建立恢复任务后,将数据恢复到主机。
这里有一个问题,为什么不把当前运行的备机数据恢复到主机呢?
这是因为期间并未有新的数据写入备机,所以直接选择从CDP备份恢复更方便。如果备机接管业务后有新的数据写入,就需要将备机的当前数据恢复到主机。如下图。
恢复结果>>>
用户经过仔细的数据验证之后,恢复的数据完整,未丢失任何财务记录。
事件启示>>>
随着比特币、以太币等虚拟数字货币的流行,其难以或不可追踪的技术特征正在被网络不法分子利用,以便在勒索资金时更加肆无忌惮。因此,可以预见今后的网络攻击行为会更加猖狂,用户对关键业务数据和运行系统的保护需要比以往做得更多。
英方在CDP持续数据保护和业务连续性领域拥有业内领先的解决方案(i2Availability+i2CDP),轻松助力用户关键应用服务器的高可用接管,同时实现恢复服务器的数据到任意历史状态。
同时,针对Oracle RAC的实时保护,英方通过数据库语言级的实时数据同步方案i2Active,为用户提供高可用和实时数据整合方案,i2Active具有简单灵活、高性能、非侵入、低影响、低于秒级延迟,低成本的特点,部署和使用也非常简便。能够帮助用户在复杂的应用环境下完成Oracle容灾备份、数据迁移、业务数据分发、构建大型数据仓库等技术数据整合等工作,协助Oracle数据库系统保持7*24小时运作,满足最终用户连续可用的要求。
推荐阅读文章