记录一次数据库被黑客攻击“RECOVER_YOUR_DATA”的心路历程

已于 2025-03-18 15:40:27 修改
阅读量1k 收藏 8
点赞数 23
分类专栏: MySQL docker 文章标签: 数据库 docker
于 2025-03-17 16:52:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woshilqf/article/details/146313439
版权

项目场景:

最近经常碰到的一个头疼问题:网站开发完成,过了几天之后,数据库中数据表全部消失,只剩下两个表“RECOVER_YOUR_DATA”和“sys”

问题描述:

数据库为什么会自动消失?
既然消失了,为什么还会留下“RECOVER_YOUR_DATA”和“sys”?
是配置问题,还是其他问题?
若能解决,那么如何防范之后不再出现这种情况?

原因分析:

1.MySQL部署在服务器上时用的是docker容器镜像部署,会不会是数据卷挂载失败,导致数宿主机没有同步到容器内的数据?

Docker部署MySQL语句
docker run \
-p 3306:3306 \
--restart=always \
--name mysql \
--privileged=true \
-v /home/mysql/log:/var/log/mysql \
-v /home/mysql/data:/var/lib/mysql \
-v /home/mysql/conf.d:/etc/mysql/conf.d \
-e MYSQL_ROOT_PASSWORD=123456 \
-d mysql:8.0.33

部署完成后,输入docker inspect mysql,若能找到以下代码则表示宿主机目录已经与容器内目录数据挂载完成,如果和下面结果一样,则可以排除挂载失败这种情况。

此时使用DBeaver连接服务器上数据库可能会出现以下内容,即初始的数据库有sys(如果想看到mysql、information_schema、performance_schema等系统数据库,那么在设置里面设置“显示系统对象”即可),

也可能是

这就代表你的数据库已经被黑了。我们来看看这个表中都有什么信息:
首先里面包含一张表“RECOVER_YOUR_DATA”:内容大致为:

简明来说,你的数据即将在48小时之内公开并删除,如果想要恢复数据,那么就需要支付0.0102 BTC。当时我还没意识到这张表的存在,就继续管自己建表......当然这种情况也可能在你的数据库建之后出现,那么在一定时间内,你的数据库就会被真正删除!

 

解决方案:

既然已经找到了问题所在,那接下来只需要解决问题即可


这是我们的MySQL的配置文件,其中需要注意:“log-bin”=/home/mysql/data/mysql-bin,这是恢复数据的关键!

        log-bin是 MySQL 中一种非常重要的日志文件,它以二进制格式记录了对数据库执行更改的所有事件,比如 INSERTUPDATEDELETE 等 SQL 语句。这些日志记录对于数据库的复制、恢复和审计等操作起着关键作用,通过上网查询资料我们可以log-bin就是用来“数据恢复”,“主从复制”的。          那么,我们再翻译一下这段话什么意思,“log-bin”=/home/mysql/data/mysql-bin:log-bin文件路径在“/home/mysql/data”Docker的虚拟目录下,并以mysql-bin开头,如下图:
利用它对数据恢复有个前提,就是需要有mysqlbinlog工具,但是Docker拉取MySQL8.0.33时并不会包含此工具,让我们来看看deepseek是怎么回答的。
我认为最麻烦的一步来了,这种情况下,该如何安装mysqlbinlog工具呢?这里提供一种方法(CentOS7)使用yum在宿主机上直接安装mysql-client,这时要确保yum的Python路径(CentOS 7默认Python 2.7),如果不是(为Python3),请自行修改
/usr/bin/yum文件的首行必须为#!/usr/bin/python,出现下图结果,算成功。

然后下载mysql-community-client,可以根据这篇文章进行安装:
安装mysql客户端(yum安装和rpm包安装)_安装mysql服务端时,客户端会作为依赖自动安装-CSDN博客
安装完成之后输入mysqlbinlog --version出现下图结果,那么就算下载成功:



首先我在服务器上创建了一个aaa数据库,里面创建“asd”表,此时模拟数据库被黑掉,手动删除aaa数据库

一看就知道这个是当前操作完后的日志。
先利用:mysqlbinlog /home/mysql/data/mysql-bin.000006 > /tmp/mysql-bin.000006.txt将此bin-log以txt形式展示,找到删除aaa库的具体位置,如下图

上面的红框是代表asd添加了一条数据,而下面的红框代表aaa数据库被删除,此时,我们只要"at2531"行之前的SQL获取即可,这样就能试着恢复数据库。

输入代码后,生成SQL脚本,运行该SQL脚本,即可恢复数据库以及数据。运行结果如下:

此时不仅数据库成功恢复,数据表内容也成功恢复!


温馨提示,如果想要避免被黑客攻击,有以下方法可供参考:

1.首先可以新增用户,密码采用强密码,禁止其他IP登录root,只允许本地,减少用户对数据表的访问与操作的权限。并一段时间修改一次密码。
2.开启防火墙,开放MySQL所在端口或者直接修改MySQL默认3306端口,修改为3307等,阿里云中的“安全组”可以实现端口开放。
3.定时监控数据库的操作(zabbix,本人还未使用过)
4.使用root用户,根据需求选择指定端口能连接数据库

最后,如果本篇文章有不足之处,请评论区留言,我们一起探讨问题,谢谢!

MySQL数据库被黑了
weixin_42578316的博客
10-15 7267
MySQL数据库被黑了黑的方式没找到 日志没开 但是知道怎么预防了第一种 直接mysql.ini文件里面设置第二种 配置防火墙 tm的倒了血霉了 今天登录测试库发现数据库被黑了,把原来的数据库弄走了只给我创建了个z_readme_to_recover库 里面一张recover_your_data表 表中数据 表里面是勒索信息 让我给他0.1BTC。 谁tm有钱给他!天天想屁吃!! All your data is a backed up. You must pay 0.1 BTC to 12oLb1
MySQL损坏,使用data恢复数据
Amewin的博客
06-15 960
需要使用相同的mysql版本进行恢复 (以下为使用zip安装)(使用该教程进行安装)
我的数据库被勒索了!从零基础到精通,收藏这篇就够了!_dockermysql被勒索的解决方法
最新发布
喜欢Python编程的程序员柚柚呀
03-18 291
大家好,我是苍何。最近一个多月,全身心投入到**「开源项目」「数据库被勒索」**的经历,希望大家足够重视数据库的安全防护。因为是开源项目嘛,为了控制成本,数据库使用的是阿里云 1 核 2G 的 ECS 服务器自己搭建的。想着还在测试阶段,密码干脆就设置的比较简单,没错,就是 123456 😂。并且怎么简单怎么来,用的 docker 快速就搭建了,并没有设置好权限。搭建好后过了一晚,一直在重启,看了下日志,以为是内存不足导致,又给 MySQL 加了**「内存限制和内存保留」**。
Mysql数据库被黑客入侵,如何处理
CLanMua的博客
08-08 873
您的数据库已删除。您必须支付 0.0155 比特币 (BTC) 才能取回它们
MySQL数据库被勒索删库后如何恢复,支付赎金的后果
08-02 3157
MySQL数据库被黑客勒索删库后,会留下一封勒索信,若按他们要求支付赎金后,能否拿到完整数据呢?本文通过真实案例,介绍支付赎金后的后果,并且介绍MySQL数据库无备份无binlog日志情况下,终极的恢复方案。
RECOVER_DATABASES MySQL被黑
A_Coding_Man
12-10 979
MySQL被干了 刚一上班进入MySQL发现数据库中多了一个名为RECOVER_DATABASES的库, 就觉得名字好奇怪,问了下同事,也不是他们建的,就感觉事情不对,进入自己的库一看,我叼,自己建的表全都不见了,只有一个怪异的表WARNING在那里, 这时,我已经基本确定被人干了,大胆查一下表里的内容, 啊哈哈哈,幸好我这个服务器上放的全是测试数据,都不太重要,再查了一下其他的文件,还好都没事 路过了老哥们,有没有遇到过这类问题,都怎么解决呢? ...
【Mongodb】READ_ME_TO_RECOVER_YOUR_DATA数据库被恶意删除
qq_40881695的博客
06-23 4204
mongodb数据库被恶意删除
MYSQL数据恢复
贾维斯的博客
08-03 327
MYSQL数据恢复 一、数据丢失 1、服务器或存储硬件故障=====》(恢复手段)数据备份,主从复制备份  2、人为或应用程序失误导致数据错乱或丢失====》(恢复手段)数据备份,延迟备份,数据回滚  3、数据库bug导致数据无法正常读取====》数据备份,其他特殊读取手段。。。 二、常用备份手段         关注这个小工具:percona data recovery t...
MySQL数据恢复
startkz的博客
10-20 392
前言 MySQL的数据库其相关文件都会存放在安装目录下,linux下为/val/lib/mysql文件夹中,不同的存储引擎创建的表其文件也不一样,下面来认识下这些数据库文件。 db.opt 用来记录该库的默认字符集编码和字符集排序规则用的。也就是说如果你创建数据库指定默认字符集和排序规则,那么后续创建的表如果没有指定字符集和排序规则,那么该新建的表将采用db.opt文件中指定的属性。 .frm 与...
mysql 数据能恢复吗,有效恢复MYSQL受损数据
weixin_33193480的博客
03-17 279
突然断电,重启后导致个人电脑中的wordpress数据库受损;此数据是在本地经过很长一段时间的录入、维护的,而且在本地从末因断电或其他原因导致的数据损坏,故没有备份。所以很心塞!故障从wamp(wamp server 2.5)服务无法正常启动开始,查apache错误日志和mysql日志以及计算机事务日志,找到关键提示:InnoDB: We do not continue the crash rec...
oracle恢复工具-FY_Recover_Data
05-08
步骤1:先把Fy_Recover_Data包拷贝到oracle相关目录下 步骤2:在scott用户下创建test_emp表: SQL> conn scott/tiger; Connected. SQL> select * from tab; TNAME ? ? ? TABTYPE CLUSTERID --------------...
Fy_Recover_Data压缩包
03-08
"Fy_Recover_Data压缩包"正是这样一个专为Oracle数据库设计的数据恢复工具包,它利用了Oracle特有的表扫描机制和数据嫁接技术来帮助用户恢复被TRUNCATE操作删除的数据,甚至是因某些原因损坏的数据。 首先,我们来...
FY_Recover_Data.sql
10-12
http://www.hellodba.com/download/FY_Recover_Data.zip
Oracle使用fy_recover_data恢复truncate删除的数据
weixin_30895723的博客
04-21 1170
(一)truncate操作概述在生产中,truncate是使用较多的命令,在使用不当的情况下,往往会造成表的数据全部丢失,恢复较为困难。对于truncate恢复,常见的有以下几种方法可以进行恢复:使用数据泵导入。该方法操作简单,前提是必须要有备份可用,并且会有数据的丢失;使用RMAN进行不完全恢复。可将数据库恢复到truncate之前的时刻,但是恢复时间较长;使用odu、prm-dul、...
Oracle数据恢复工具 FY_Recover_Data 使用教程
本文将详细解析Oracle数据库中误删除(Truncate)表数据后的恢复方法,并介绍一款实用的恢复工具——FY_Recover_Data。 ### Oracle Truncate操作及数据恢复原理 在Oracle数据库中,`TRUNCATE`命令用于快速清空一个...
mysql数据库data修复命令_MySQL数据库的修复
weixin_33283907的博客
01-19 585
找到mysql的安装目录的bin/myisamchk工具,在命令行中输入:myisamchk -c -r ../data/tablename/posts.MYI然后myisamchk 工具会帮助你恢复数据表的索引。好象也不用重新启动mysql,问题就解决了。当你试图修复一个被破坏的表的问题时,有三种修复类型。如果你得到一个错误信息指出一个临时文件不能建立,删除信息所指出的文件并再试一次--这通常是...
MySQL 恢复误删数据
不懂一休
06-02 7775
通过 vbs 脚本转换 sql 语句,当然也可以使用其他的语言,window 执行 vbs 不需要额外的环境,你只需要修改下面 vbs 文件中输入输出文件名以及编码类型即可。MySQL 恢复误删数据,针对 window 和 Linux 均适用,只需要找到对应的 binlog 目录文件,默认就是 MySQL 安装目录下的 data 文件夹。接下来只需要将上面的 delete 语句转换为 inert 即可恢复误删数据,如果需要转换的多可以通过代码自定义实现,主要就是将。转换结果如下,自行选择新增恢复数据。
mysql数据库recover_xxx数据库恢复 mariadb数据库误删除恢复 mysql数据库被黑删库恢复
u014513153的博客
06-29 1986
6月 mysql数据库被删库的太多了, 如果你也遇到了这个问题,那就保护好原始环境 不要尝试恢复了,赶紧联系专业人士处理。这种删库后,实际的数据库表数据文件 还存在磁盘 只是文件簇链接被破坏,所以看不到了,mysql4 .x 5.x 8.x mariadb 10.x 这种情况都可以很完美的恢复,前提是不要读写分区 覆盖数据。第一时间做快照;被黑删库 基本都是下面的情况 原库不见了,或者原库表都不见了, 新建的有 recover_xxx数据库 这就是典型的被黑删库。...
mysql xtrabackup docker
12-31
### 使用 Docker 中 MySQL XtraBackup 进行备份 为了在 Docker 环境中使用 Percona XtraBackup 对 MySQL 数据库进行备份,可以按照如下方法操作: #### 准备工作 确保 `mysql` 和 `percona-xtrabackup` 都已经安装并配置好。由于这两个服务通常会分别位于不同的容器内,在同一台主机上的部署方式有助于简化网络连接设置。 #### 创建备份卷 创建一个新的 Docker 卷用于存储备份文件,这一步骤并非强制性的但是推荐做法以便于管理和迁移备份数据[^2]。 ```bash docker volume create mysql_backup_volume ``` #### 执行全量备份 启动一个临时的 percona/xtrabackup 容器来执行完整的备份过程,并指定目标路径为之前创建好的卷位置。 ```bash docker run --rm \ --name=mysql-backup-job \ -v mysql_backup_volume:/backup \ -e MYSQL_ROOT_PASSWORD=your_password \ --network some-network \ percona/percona-xtrabackup:latest \ bash -c "xtrabackup --backup --target-dir=/backup --user=root --password=$MYSQL_ROOT_PASSWORD" ``` 此命令将会把整个数据库实例的数据复制到 `/backup` 文件夹下,该文件夹映射到了宿主机的一个持久化卷上[^1]。 #### 增量备份(可选) 如果希望减少每次完全备份所需的时间和空间开销,则可以选择增量备份策略。这种方式只保存自上次成功完成之后发生变化的部分。 ```bash docker run --rm \ --name=mysql-incremental-e MYSQL_ROOT_PASSWORD=your_password \ --network some-network \ percona/percona-xtrabackup:latest \ bash -c "xtrabackup --incremental-basedir=/backup/full/path --backup --target-dir=/backup/incremental --user=root --password=$MYSQL_ROOT_PASSWORD" ``` 这里假设已经有了名为 `full` 的完整备份作为基础版本;新的更改会被追加至 `incremental` 目录之中。 --- ### 恢复操作指南 当需要从已有的备份还原数据时,请遵循以下步骤: 停止当前正在运行的服务以防止冲突发生: ```bash docker stop your_mysql_container_name ``` 准备一个干净的工作区用来解压备份档案: ```bash mkdir -p /path/to/restore_point && cd $_ tar zxvf /data/backup/mysql7006-20181101.tar.gz . ``` 接下来通过另一个一次性容器来进行实际的数据恢复流程: ```bash docker run --rm \ --name=mysql-recover-job \ -v $(pwd):/source \ -v your_mysql_data_volume:/var/lib/mysql \ --entrypoint="" \ percona/percona-xtrabackup:latest \ bash -c "innobackupex --apply-log /source && innobackupex --copy-back /source" ``` 最后重启 MySQL 实例使其生效: ```bash docker start your_mysql_container_name ``` 注意替换上述脚本中的变量名以及环境参数以匹配具体的项目需求[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值