我的数据库貌似被暴力破解后删掉了怎么办

xomix

2017-12-07 14:12:00 +08:00

联系腾讯客服，看看那边有没有收费恢复的手段，你这云服务器没法拿硬盘恢复啊

zlfzy

2017-12-07 14:15:10 +08:00

没有定时快照？

cuiswing

2017-12-07 14:18:39 +08:00

@zlfzy 没有吧，我也不清楚是怎么弄的

cuiswing

2017-12-07 14:19:15 +08:00

@xomix 他们说自己找第三方公司来恢复，我看了下，一次 500 呢

FFLY

2017-12-07 14:20:50 +08:00

数据库可以远程访问？你这安全措施也太差了吧。

3dwelcome

2017-12-07 14:21:00 +08:00

是密码太简单、被爆破的吗？设的是几位密码？

cuiswing

2017-12-07 14:27:32 +08:00

@FFLY 为了方便呀 😂

cuiswing

2017-12-07 14:27:47 +08:00

@3dwelcome 貌似就 4 位数

QQ2171775959

2017-12-07 14:29:55 +08:00

这个就不好了。如果是独立的还好些，能够拿硬盘去恢复，VPS 只能看你有没有备份了。

QAPTEAWH

2017-12-07 14:33:39 +08:00

drop schema 还是删文件？有没有开 binlog ？

cuiswing

2017-12-07 14:37:24 +08:00

@QAPTEAWH
貌似没有开
我的 mysqld.log 日志中找到的一段：
……
2017-12-06T04:39:36.797433Z 1664 [Note] Access denied for user 'root'@'59.38.35.243' (using password: YES)
2017-12-06T04:39:37.000316Z 1665 [Note] Access denied for user 'root'@'59.38.35.243' (using password: YES)
2017-12-06T05:09:30.452113Z 1666 [ERROR] Fatal error: Can't open and lock privilege tables: Table 'mysql.user' doesn't exist
2017-12-06T05:09:30.452193Z 1666 [ERROR] Fatal error: Can't open and lock privilege tables: Table 'mysql.user' doesn't exist
2017-12-06T05:09:30.452232Z 1666 [ERROR] Can't open and lock privilege tables: Table 'mysql.user' doesn't exist
……

2017-12-06T05:09:38.568473Z 1666 [ERROR] Can't open and lock privilege tables: Table 'mysql.user' doesn't exist
2017-12-06T05:11:15.552781Z 1666 [Note] Aborted connection 1666 to db: 'unconnected' user: 'root' host: '58.221.49.79' (Got an error reading communication packets)
2017-12-06T05:15:27.895543Z 0 [Note] Giving 1 client threads a chance to die gracefully
2017-12-06T05:15:27.895634Z 0 [Note] Shutting down slave threads
2017-12-06T05:15:29.895817Z 0 [Note] Forcefully disconnecting 1 remaining clients
2017-12-06T05:15:29.895877Z 0 [Warning] /usr/sbin/mysqld: Forcing close of thread 584 user: 'root'

2017-12-06T05:15:29.895949Z 0 [Note] Event Scheduler: Purging the queue. 0 events
2017-12-06T05:15:29.928479Z 0 [Note] Binlog end
2017-12-06T05:15:29.949043Z 0 [Note] Shutting down plugin 'validate_password'
2017-12-06T05:15:29.955190Z 0 [Note] Shutting down plugin 'ngram'
2017-12-06T05:15:29.955228Z 0 [Note] Shutting down plugin 'partition'
2017-12-06T05:15:29.955233Z 0 [Note] Shutting down plugin 'BLACKHOLE'
……

这个是不是就是他登上去了把我的数据库删除了，连我的用户表都删了！
凌晨时干的

shiji

2017-12-07 15:01:36 +08:00

@FFLY 他这个问题主要是因为弱口令。跟远程登陆没关系。我的 MySQL root 开放远程登录好多年了。觉得密码不够安全可以 REQUIRE X509。跟破解 SSH 证书一样难。

FFLY

2017-12-07 15:07:34 +08:00

@shiji 习惯问题，远程登录+弱密码，枚举都出来了，估计都不是人工干的，一个脚本足以。

cuiswing

2017-12-07 15:16:44 +08:00

@FFLY 那数据还能恢复找回吗，，，，，我这名不见经传的小网站才几个月，没有任何商业价值，他们删我的库干嘛啊，，，这种事是公司操作的吗

http://cuishixiang.cn

2017-12-07 15:18:10 +08:00

又一个弱密码受害者。

topbandit

2017-12-07 15:27:14 +08:00

mysql 开 binglog

topbandit

2017-12-07 15:27:57 +08:00

初级黑客拿你的站点爆破练习练习

irainsoft

2017-12-07 15:30:37 +08:00

四位密码开远程访问还不做备份... 这心也太大了吧

cuiswing

2017-12-07 15:33:08 +08:00

@topbandit 貌似没有开 binlog，那他爆就爆了啊，通知我一下也可以啊，干嘛删我的库呢？
这不就像是看见别人家的后门虚掩着于是跑进去把别人家东西搬空了嘛~

cuiswing

2017-12-07 15:35:18 +08:00

@irainsoft 我这也从来没自己管理过线上的机器，没经验啊欲哭无泪