V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cuiswing
V2EX  ›  服务器

我的数据库貌似被暴力破解后删掉了怎么办

  •  
  •   cuiswing · 2017-12-07 12:22:33 +08:00 · 7050 次点击
    这是一个创建于 2547 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我在腾讯云上弄的个最低配置的服务器,1 核 CPU,1G RAM,20G 硬盘,5Mbps 宽带,昨天突然发现访问不了了,今天看日志貌似是有人一直在不停地尝试登陆我的 MySQL,然后把我的数据库全部删掉了 😂😂😂😂😂😂😂

    怎么办呀?能恢复吗,能找出这个人来吗?谁能来给点指点啊

    把我的机器给你,只求能恢复数据就好

    第 1 条附言  ·  2017-12-07 15:23:56 +08:00
    我这种个人小网站他们黑我干嘛啊: http://cuishixiang.cn

    我刚上线两三个月,他们黑了我这有什么用吗?背后是有什么产业链吗?虽然自己是做软件的,其实不懂互联网冰山下的那一个大角。
    求分析
    60 条回复    2017-12-15 12:00:06 +08:00
    xomix
        1
    xomix  
       2017-12-07 14:12:00 +08:00
    联系腾讯客服,看看那边有没有收费恢复的手段,你这云服务器没法拿硬盘恢复啊
    zlfzy
        2
    zlfzy  
       2017-12-07 14:15:10 +08:00
    没有定时快照?
    cuiswing
        3
    cuiswing  
    OP
       2017-12-07 14:18:39 +08:00
    @zlfzy 没有吧,我也不清楚是怎么弄的
    cuiswing
        4
    cuiswing  
    OP
       2017-12-07 14:19:15 +08:00
    @xomix 他们说自己找第三方公司来恢复,我看了下,一次 500 呢
    FFLY
        5
    FFLY  
       2017-12-07 14:20:50 +08:00
    数据库可以远程访问?你这安全措施也太差了吧。
    3dwelcome
        6
    3dwelcome  
       2017-12-07 14:21:00 +08:00 via iPhone
    是密码太简单、被爆破的吗?设的是几位密码?
    cuiswing
        7
    cuiswing  
    OP
       2017-12-07 14:27:32 +08:00
    @FFLY 为了方便呀 😂
    cuiswing
        8
    cuiswing  
    OP
       2017-12-07 14:27:47 +08:00
    @3dwelcome 貌似就 4 位数
    QQ2171775959
        9
    QQ2171775959  
       2017-12-07 14:29:55 +08:00
    这个就不好了。如果是独立的还好些,能够拿硬盘去恢复,VPS 只能看你有没有备份了。
    QAPTEAWH
        10
    QAPTEAWH  
       2017-12-07 14:33:39 +08:00
    drop schema 还是删文件?有没有开 binlog ?
    cuiswing
        11
    cuiswing  
    OP
       2017-12-07 14:37:24 +08:00
    @QAPTEAWH
    貌似没有开
    我的 mysqld.log 日志中找到的一段:
    ……
    2017-12-06T04:39:36.797433Z 1664 [Note] Access denied for user 'root'@'59.38.35.243' (using password: YES)
    2017-12-06T04:39:37.000316Z 1665 [Note] Access denied for user 'root'@'59.38.35.243' (using password: YES)
    2017-12-06T05:09:30.452113Z 1666 [ERROR] Fatal error: Can't open and lock privilege tables: Table 'mysql.user' doesn't exist
    2017-12-06T05:09:30.452193Z 1666 [ERROR] Fatal error: Can't open and lock privilege tables: Table 'mysql.user' doesn't exist
    2017-12-06T05:09:30.452232Z 1666 [ERROR] Can't open and lock privilege tables: Table 'mysql.user' doesn't exist
    ……

    2017-12-06T05:09:38.568473Z 1666 [ERROR] Can't open and lock privilege tables: Table 'mysql.user' doesn't exist
    2017-12-06T05:11:15.552781Z 1666 [Note] Aborted connection 1666 to db: 'unconnected' user: 'root' host: '58.221.49.79' (Got an error reading communication packets)
    2017-12-06T05:15:27.895543Z 0 [Note] Giving 1 client threads a chance to die gracefully
    2017-12-06T05:15:27.895634Z 0 [Note] Shutting down slave threads
    2017-12-06T05:15:29.895817Z 0 [Note] Forcefully disconnecting 1 remaining clients
    2017-12-06T05:15:29.895877Z 0 [Warning] /usr/sbin/mysqld: Forcing close of thread 584 user: 'root'

    2017-12-06T05:15:29.895949Z 0 [Note] Event Scheduler: Purging the queue. 0 events
    2017-12-06T05:15:29.928479Z 0 [Note] Binlog end
    2017-12-06T05:15:29.949043Z 0 [Note] Shutting down plugin 'validate_password'
    2017-12-06T05:15:29.955190Z 0 [Note] Shutting down plugin 'ngram'
    2017-12-06T05:15:29.955228Z 0 [Note] Shutting down plugin 'partition'
    2017-12-06T05:15:29.955233Z 0 [Note] Shutting down plugin 'BLACKHOLE'
    ……

    这个是不是就是他登上去了把我的数据库删除了,连我的用户表都删了!
    凌晨时干的
    shiji
        12
    shiji  
       2017-12-07 15:01:36 +08:00
    @FFLY 他这个问题主要是因为弱口令。跟远程登陆没关系。 我的 MySQL root 开放远程登录好多年了。觉得密码不够安全可以 REQUIRE X509。跟破解 SSH 证书一样难。
    FFLY
        13
    FFLY  
       2017-12-07 15:07:34 +08:00
    @shiji 习惯问题,远程登录+弱密码,枚举都出来了,估计都不是人工干的,一个脚本足以。
    cuiswing
        14
    cuiswing  
    OP
       2017-12-07 15:16:44 +08:00
    @FFLY 那数据还能恢复找回吗,,,,,我这名不见经传的小网站才几个月,没有任何商业价值,他们删我的库干嘛啊,,,这种事是公司操作的吗

    http://cuishixiang.cn
    loading
        15
    loading  
       2017-12-07 15:18:10 +08:00
    又一个弱密码受害者。
    topbandit
        16
    topbandit  
       2017-12-07 15:27:14 +08:00
    mysql 开 binglog
    topbandit
        17
    topbandit  
       2017-12-07 15:27:57 +08:00   ❤️ 1
    初级黑客拿你的站点爆破练习练习
    irainsoft
        18
    irainsoft  
       2017-12-07 15:30:37 +08:00   ❤️ 1
    四位密码开远程访问还不做备份... 这心也太大了吧
    cuiswing
        19
    cuiswing  
    OP
       2017-12-07 15:33:08 +08:00
    @topbandit 貌似没有开 binlog,那他爆就爆了啊,通知我一下也可以啊,干嘛删我的库呢?
    这不就像是看见别人家的后门虚掩着于是跑进去把别人家东西搬空了嘛~
    cuiswing
        20
    cuiswing  
    OP
       2017-12-07 15:35:18 +08:00
    @irainsoft 我这也从来没自己管理过线上的机器,没经验啊 欲哭无泪
    chanssl
        21
    chanssl  
       2017-12-07 15:45:23 +08:00
    脚本每天都在扫这些,很正常,提高自己的安全意识吧。
    Felldeadbird
        22
    Felldeadbird  
       2017-12-07 15:47:21 +08:00
    数据不多就重新来呗。
    cuiswing
        23
    cuiswing  
    OP
       2017-12-07 15:49:40 +08:00
    @Felldeadbird 全是博客文章 图文( ⊙ o ⊙ )啊!无法重来了,一篇就得写好久
    zpf124
        24
    zpf124  
       2017-12-07 15:55:20 +08:00   ❤️ 1
    有许多 这样的人,处于各种目的,瞎逼祸害, 想想前段时间那波 爬煎蛋带起来的风波。

    一个人在 v 站上秀他爬的成果,结果带起一堆无聊还没啥技术的人把人网站爬挂了。

    黑客也同理,每天都有一大堆憧憬着成为黑客大神的网吧无业网瘾少年都在入行。
    再有一个出于收徒赚钱或者炫耀目的的人发表一下他的成功,引起许多蝗虫没有目的纯粹为了攻击而攻击的人满世界扫描。
    ytpfxnj
        25
    ytpfxnj  
       2017-12-07 15:58:58 +08:00
    博客为啥不用免费的 github.io 站点呢?数据库如果重要为啥不知道备份呢?
    3dwelcome
        26
    3dwelcome  
       2017-12-07 16:03:08 +08:00
    喵的,吓的我赶快去重置了一个复杂长密码,楼主的案例告诉码农,公网可以访问的密码设置,千万别偷懒。。
    q409195961
        27
    q409195961  
       2017-12-07 16:06:27 +08:00
    看看度娘蜘蛛有没有去过你家爬,有的话,跪谢度娘,拿快照走人。
    cuiswing
        28
    cuiswing  
    OP
       2017-12-07 16:40:34 +08:00
    @zpf124
    哎😔真心酸
    以前还觉得黑客这名字听起来真带劲,可是真的被自己遇到了才发现这么悲催

    我觉得起码的道德要有吧。

    有这个能力去黑了别人的网站,已经证明你的能力了何必还做些让他人不开心的事呢,你提醒他人一声多好啊
    cuiswing
        29
    cuiswing  
    OP
       2017-12-07 16:43:14 +08:00
    @ytpfxnj
    还是想自己弄台主机学一下嘛。
    哎,本想着我这个小网站就自己看看的,谁想成被他们盯上了呢,他们这是怎么知道我的这个域名或 IP 的啊,
    我就在这么个小小的角落里也被找上门来了,真是厉害
    cuiswing
        30
    cuiswing  
    OP
       2017-12-07 16:44:45 +08:00
    @q409195961 没有,我这小网站应该是不会被度娘爬到的,而且我的数据都是从数据库异步获取的,静态页面没什么内容
    xomix
        31
    xomix  
       2017-12-07 16:48:57 +08:00
    @cuiswing 好便宜啊我上次误删花了 1500 呢
    SourceMan
        32
    SourceMan  
       2017-12-07 16:50:00 +08:00
    《 Linux 服务器的初步配置流程》
    http://www.ruanyifeng.com/blog/2014/03/server_setup.html
    ytpfxnj
        33
    ytpfxnj  
       2017-12-07 16:53:37 +08:00
    $ nmap cuishixiang.cn

    Starting Nmap 7.01 ( https://nmap.org ) at 2017-12-07 16:52 CST
    Nmap scan report for cuishixiang.cn (123.206.76.216)
    Host is up (0.032s latency).
    Not shown: 996 filtered ports
    PORT STATE SERVICE
    22/tcp open ssh
    80/tcp open http
    443/tcp open https
    8080/tcp open http-proxy

    Nmap done: 1 IP address (1 host up) scanned in 5.12 seconds



    先把你的 ssh 端口改了吧,没有点安全常识就不要用公网 ip
    q409195961
        34
    q409195961  
       2017-12-07 16:56:18 +08:00
    @cuiswing 吓得我赶紧给我的博客数据库加个 cron 备份
    cuiswing
        35
    cuiswing  
    OP
       2017-12-07 16:56:30 +08:00
    @xomix 我只是看了下,没了解具体的服务内容,,,,,我这只是个个人小网站😅
    ytpfxnj
        36
    ytpfxnj  
       2017-12-07 16:57:51 +08:00
    楼主在上个帖子公布了自己的网站,https://www.v2ex.com/t/411985#reply6

    我猜测是有人通过 V2EX 看到之后,闲着没事儿,扫描了一下你的网站,暴力破解密码。

    也许还在你的服务器上装个木马程序或者矿机呢
    zpf124
        37
    zpf124  
       2017-12-07 16:57:59 +08:00
    假如你是一个 无聊的菜鸡, 还有一个照着别人抄过来的一键攻击脚本,一点它就告诉你攻击成功 200/10000 次。

    方案一: 脚本代码写如果成功了扔个炫耀文件,等扫描之后 你打开攻击记录找到对应的 ip 和账号,登上去看是不是真成了。
    方案二:脚本代码写成功了直接搞破坏,删目录删数据库,等扫描之后 你直接打开攻击记录找 ip 看看机器黄没黄。


    你觉得 那种简单省事,那种更适合去炫耀?
    cuiswing
        38
    cuiswing  
    OP
       2017-12-07 16:59:37 +08:00
    @SourceMan
    @ytpfxnj
    好的,非常感谢指导,看来我这个开发的道路还任重而道远,还得多多学习。
    向 V 站的小伙伴&大神们致敬 !
    cuiswing
        39
    cuiswing  
    OP
       2017-12-07 17:34:36 +08:00
    @zpf124 呃😓 反正我这是黄了
    cuiswing
        40
    cuiswing  
    OP
       2017-12-07 17:35:50 +08:00
    @ytpfxnj 我这么弱的机器也要给我装矿机? 木马怎么检测清除啊
    goodryb
        41
    goodryb  
       2017-12-07 17:43:36 +08:00
    你自己也是做软件的,安全意识太差了,另外,你一直强调你是小网站,有什么用呢? 该删还是给你删了

    基本的安全意识还是要有的,这种网站,除了 80、443、ssh 端口 其它一律不开
    hjzx050935
        42
    hjzx050935  
       2017-12-07 17:50:46 +08:00
    你看看你有没有这个哈哈哈哈哈哈

    https://www.v2ex.com/t/412861
    ctro15547
        43
    ctro15547  
       2017-12-07 17:57:32 +08:00
    好歹弄个 fail2ban 啊 或者自己写个脚本监控弄个一下 log 也行。。弱密码还没防范意识。
    sunorg
        44
    sunorg  
       2017-12-07 18:01:53 +08:00
    @cuiswing

    看自己是否被搞,

    在 mysql/var 目录,有一些 mysqlbinlog-0000xxxx.的文件,

    linux 下,执行 tail -f 这个文件名,就可以看到了。。
    cuiswing
        45
    cuiswing  
    OP
       2017-12-07 18:12:39 +08:00
    @hjzx050935 这个是那个租房网站看房狗吧?
    cuiswing
        46
    cuiswing  
    OP
       2017-12-07 18:17:08 +08:00
    @sunorg 好的,我去看看,O(∩_∩)O 谢谢
    ryV60s
        47
    ryV60s  
       2017-12-07 18:19:22 +08:00
    @cuiswing 百度快照看有木有缓存把
    cnfzv
        48
    cnfzv  
       2017-12-07 18:20:09 +08:00 via Android
    最高权限不要随便放,默认端口不要随便用
    cuiswing
        49
    cuiswing  
    OP
       2017-12-07 18:23:47 +08:00
    @cnfzv 嗯,我也是第一次自己弄服务器,没有任何意识。以后一定注意。
    yexiaoxing
        50
    yexiaoxing  
       2017-12-07 18:24:21 +08:00
    1. 能少开放外网服务就少开……
    2. 不要用弱密码
    3. 记得备份……
    cuiswing
        51
    cuiswing  
    OP
       2017-12-07 19:01:36 +08:00
    @yexiaoxing O(∩_∩)O 谢谢 1,2,3 点我喜欢
    ytpfxnj
        52
    ytpfxnj  
       2017-12-08 08:13:42 +08:00
    矿机分布式运算,树莓派都有人用。如果你的 cpu 没有跑满,可能没有矿机。

    木马的话你看看有什么异常端口,或者开机启动的程序,自己去学吧。
    RangerWolf
        53
    RangerWolf  
       2017-12-08 09:46:55 +08:00
    楼主, 你连端口都没换么? 汗
    换个端口,好歹能迷惑很多人了
    jason19659
        54
    jason19659  
       2017-12-08 10:53:04 +08:00
    不备份活该
    killerv
        55
    killerv  
       2017-12-08 10:57:42 +08:00
    mysql 为什么要对外开放端口,只需要开放的只有 nginx 和 ssh 端口
    mxonline
        56
    mxonline  
       2017-12-08 13:29:43 +08:00
    楼主怎么也要给服务器上个安防之类的软件吧,安全狗,云锁之类的就可以挡住很多脚本小子了
    bomb77
        57
    bomb77  
       2017-12-08 13:56:00 +08:00
    要珍惜自己的劳动成果啊,自己辛辛苦苦写的博客,数据肯定要多备份几个地方的
    cuiswing
        58
    cuiswing  
    OP
       2017-12-08 14:22:09 +08:00 via Android
    @bomb77 唉:-(现在说什么都晚咯……全是悔恨的泪水啊 X﹏X
    whx20202
        59
    whx20202  
       2017-12-12 11:01:33 +08:00
    1. 看看爬虫有没有爬你的网站,把缓存的 cache 拿走
    2. 就当学习了,下次避免就行了
    3. 服务器和博客尽量备份
    cuiswing
        60
    cuiswing  
    OP
       2017-12-15 12:00:06 +08:00
    @whx20202 嗯嗯,好的,怎么看有没有爬虫爬过啊?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3123 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 14:14 · PVG 22:14 · LAX 06:14 · JFK 09:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.