**?大綱** 1.[經過](http://github.crmeb.net/u/defu) 2.[追查](http://github.crmeb.net/u/defu) 3.[恢復數據庫](http://github.crmeb.net/u/defu) 4.[安全設置](http://github.crmeb.net/u/defu) 5.[總結](http://github.crmeb.net/u/defu) **經過** 2020-11-23 早上十點左右，和往常一樣打開 Navicat 連接[數據庫](https://cloud.tencent.com/solution/database?from=10680)。打開一臉懵逼，庫里面只有一張 Waring 表。表內容如下：  ???♂? 哦豁~ 數據庫被黑了。還好是剛建的測[試服務器](https://cloud.tencent.com/product/wetest?from=10680)，沒多少數據。先看看 0.0175 比特幣現在值多少軟妹幣。??  換算成人民幣是 2196 元，如果是生產環境上估計就想著要交錢了。這里要切記，一定不要付款！老黑們指不定沒有給你備份。 **追查** 看看老黑們有沒有留下什么痕跡。 下面是數據庫連接日志??  通過查看日記發現，2020-11-22T18:39:43.674987Z這個時間有一個來源是波蘭的 ip 多次嘗試使用 root 賬戶登錄。 日志上面記錄的時間是世界協調時間，轉換成本地時間就是2020-11-23 02:39:43，Waring 表插入的時間是2020-11-23 02:40:43，這就對得上了。說明是 31.179.142.158 這個 ip 在 23 號凌晨 2 點 40 分通過暴力破解登錄的。 然而，，知道了也沒轍并不能找到人。?? 由于是測試[服務器](https://cloud.tencent.com/product/cvm?from=10680)，數據庫都是剛建的也沒有備份，重建的話也是麻煩，所以嘗試有沒有方法補救一下，最好是能恢復回來。 **恢復數據庫** 問了一下社區的朋友，如果數據庫有開啟 binlog 那就還有恢復的可能。 用寶塔建的數據庫默認都會開啟 binlog 。 進入服務器內找到了 bin 文件。??  由于是二進制文件，我們需要轉成sql文件再導出來看一下。 ~~~javascript $ /www/server/mysql/bin/mysqlbinlog /www/server/data/mysql-bin.000005 > /www/1.sql ~~~ 復制 下載到本地，用 vs 打開看一下內容。 [?](https://cloud.tencent.com/product/wetest?from=10680) 直接滑到底，發現老黑是在 at 4126964 這里開始進行操作的。直接就 DROP 了，果然沒有職業操守啊?? 下面通過 binlog 恢復一下數據庫。 ~~~javascript # --start-position="219" 第一次操作庫的偏移量 # --stop-position="4124564" 找一個卸庫前的偏移量 /www/server/mysql/bin/mysqlbinlog --no-defaults /www/server/data/mysql-bin.000005 --start-position="4" --stop-position="4124564" | /www/server/mysql/bin/mysql -u root -p ~~~ 復制 回車->輸入密碼->回車 檢查數據庫發現表都還原回來了???? 同理，如果是自己不小心刪庫的同學，也可以嘗試用同樣的方法恢復。 **安全設置** 這次應該是被腳本掃到的，吃一塹長一智，趕緊把安全搞一下。 1: 修改 root 登錄密碼 2: 關掉外網訪問改用 ssh 3: 禁掉 phpadmin 公共訪問地址 這臺機子測試用，如果是生產環境還需更嚴格的防護。如: 秘鑰對登錄，跳板機，vpn... **總結** 被黑之后搞清楚是哪里被攻擊了，是否可以補救？ 不要相信壞人說的話 數據庫一定不要為了方便 root 裸奔在外網，怎么也得搞個 ssh 。 突然想起之前紅衣教主周鴻祎在公開場合說過一個事情，大概是下面這個意思：歐洲一個黑客組織對外宣稱要在三年之內，通過黑客技術達到財務自由，結果才一年出頭，這個黑客組織就宣布已經賺夠錢，不干了。?? 以前不信，現在我信了。