MySQL使用备份和binlog进行数据恢复

MySQL使用备份和binlog进行数据恢复

本文主要描述了MySQL遭到攻击篡改数据，利用从库的备份和主库的Binlog进行不完全恢复。 

一、发现问题

今天是2014-09-26，开发大清早就说昨晚数据库遭到了攻击。数据库中某文章表的文章内容字段遭到篡改，全部改成了同一篇文章。

通过查看日制 发现 数据是在 2014-09-25 21:53:57 遭到篡改。

所有的内容全部被改成了如下：

我把文章贴出来，先谴责一下，很可能是某旅游社的人为了打广告 雇人干的。

二、解决方法

这个库我们是每天凌晨备份，保留30天的备份。主库的Binlog保留时间为7天。

因此很容易想到的方法是将从库2014-09-25凌晨的备份拿出来恢复，然后通过主库的Binlog通过时间段来筛选出凌晨至2014-09-25 21:53:56的所有更改，之后的数据，经业务确认，可以舍弃掉。或者后面再通过其他方法慢慢将这部分数据找出来。但是当务之急，是立马恢复数据库。

三、找备份及时间点

在备份的从库上检查备份：

1. crontab -l 
2. #0 3 * * * /data/opdir/mysqlbak/backup_mysqldump.sh 6084 >> /data/opdir/mysqlbak/6084/mysql-bakup.log 2>&1

发现备份任务让注释了

查看备份文件：

1. [root@localhost 6084]# ll
2. total 128
3. drwxr-xr-x 2 root root 4096Aug2503:1320140825
4. drwxr-xr-x 2 root root 4096Aug2603:1320140826
5. drwxr-xr-x 2 root root 4096Aug2703:1320140827
6. drwxr-xr-x 2 root root 4096Aug2803:1320140828
7. drwxr-xr-x 2 root root 4096Aug2903:1320140829
8. drwxr-xr-x 2 root root 4096Aug3003:1320140830
9. drwxr-xr-x 2 root root 4096Aug3103:1320140831
10. drwxr-xr-x 2 root root 4096Sep103:1320140901
11. drwxr-xr-x 2 root root 4096Sep203:1320140902
12. drwxr-xr-x 2 root root 4096Sep303:1320140903
13. drwxr-xr-x 2 root root 4096Sep403:1320140904
14. drwxr-xr-x 2 root root 4096Sep503:1320140905
15. drwxr-xr-x 2 root root 4096Sep603:1320140906
16. drwxr-xr-x 2 root root 4096Sep703:1320140907
17. drwxr-xr-x 2 root root 4096Sep803:1320140908
18. drwxr-xr-x 2 root root 4096Sep903:1320140909
19. drwxr-xr-x 2 root root 4096Sep1003:1320140910
20. drwxr-xr-x 2 root root 4096Sep1103:1320140911
21. drwxr-xr-x 2 root root 4096Sep1203:1320140912
22. drwxr-xr-x 2 root root 4096Sep1303:1320140913
23. drwxr-xr-x 2 root root 4096Sep1403:1320140914
24. drwxr-xr-x 2 root root 4096Sep1503:1320140915
25. drwxr-xr-x 2 root root 4096Sep1603:1320140916
26. drwxr-xr-x 2 root root 4096Sep1703:1320140917
27. drwxr-xr-x 2 root root 4096Sep1803:1420140918
28. drwxr-xr-x 2 root root 4096Sep1903:1420140919
29. drwxr-xr-x 2 root root 4096Sep2003:1320140920
30. drwxr-xr-x 2 root root 4096Sep2103:1320140921
31. drwxr-xr-x 2 root root 4096Sep2203:1420140922
32. drwxr-xr-x 2 root root 4096Sep2318:3320140923
33. -rw-r--r--1 root root 5475Sep2318:33 mysql-bakup.log

备份只到20140923日，下午18:33分。

备份日志最后一段截取：

1. tail -n 5 mysql-bakup.log 
2. deleting backup of 30 days ago --20140824 
3. 2014-09-23 18:19:12begin backup ...
4. 20140824 deleted OK 
5. 2014-09-23 18:33:43end backup ...

因为这些表是在从库备份的，而且表都是MyiSAM的表。查看备份脚本，是先Stop Slave之后，才开始备份，因此从备份脚本输出的日志中找到备份开始的时间是：

2014-09-23 18:19:12

通过：

Drwxr-xr-x 2 root root 4096 Sep 23 18:33 20140923

可看到结束时间是：2014-09-23 18:33:00

现在考虑到底是以备份开始的时间：2014-09-23 18:19:12 为Start-DateTime还是以2014-09-23 18:33:00 为Start-DateTime。

前面 提到备份脚本是从库进行备份的，是在2014-09-23 18:19:12开始的，在这个时刻备份开始，执行了Stop Slave；因此整个备份的状态反映的是从库2014-09-23 18:19:12 这个时间的状态。而且通过监控可以看到在这个时间点，从库的延迟为0，因此可以认为这个备份就是 主库在这个时间的备份。

NOTES： 

（有人可能会因为从库上有Binlog，从库也会接受主库的Binlog之类的机制而造成混淆。这里要结合我们具体的备份方式和恢复方式来看，以选出正确的时间点。）

前面提到通过日志查到遭到篡改的时间为：2014-09-25 21:53:57，因此可以将2014-09-25 21:53:56作为Stop-DateTime

因此Binlog命令应该是这样：

1. mysqlbinlog --database=[db_name]--start-datetime='2014-09-23 18:19:12'--stop-datetime='2014-09-25 21:53:56'[binlog_name]> binlog_name0000x.sql 

四、具体的恢复操作

清楚了这些，具体的操作就简单了：

1.从备份机拷贝备份：

1. scp <备份机IP>:/data/MySQLbak/20140923/20140923.db_name.gz <恢复测试机IP>:/data/opdir/20140926

2.恢复测试机 解压：

1. gunzip 20140923.db_name.gz

3.恢复测试机导入(测试恢复库中之前没有db_name这个库)：

1. mysql -uroot -pxxxxxx -S /tmp/mysql.sock <20140923.db_name

4.将主库的Binlog拷贝到恢复测试机：

查看主库Binlog

1. -rw-rw----1 mysql mysql 87669492Sep2300:00 mysql-bin.000469
2. -rw-rw----1 mysql mysql 268436559Sep2304:20 mysql-bin.000470
3. -rw-rw----1 mysql mysql 268435558Sep2317:32 mysql-bin.000471
4. -rw-rw----1 mysql mysql 37425262Sep2400:00 mysql-bin.000472
5. -rw-rw----1 mysql mysql 137389819Sep2500:00 mysql-bin.000473
6. -rw-rw----1 mysql mysql 147386521Sep2600:00 mysql-bin.000474

 我们需要的Binlog时间段为：2014-09-23 18:28:00 至 2014-09-25 21:53:56 因此只需要：

1. -rw-rw----1 mysql mysql 37425262Sep2400:00 mysql-bin.000472
2. -rw-rw----1 mysql mysql 137389819Sep2500:00 mysql-bin.000473
3. -rw-rw----1 mysql mysql 147386521Sep2600:00 mysql-bin.000474

将这3个Binlog  Copy过去：

1. scp mysql-bin.000472<恢复测试机IP>:/data/opdir/20140926 
2. scp mysql-bin.000473<恢复测试机IP>:/data/opdir/20140926 
3. scp mysql-bin.000474<恢复测试机IP>:/data/opdir/20140926

5.使用MySQLBinlog 生成SQL脚本：

1. mysqlbinlog --database=[db_name]--start-datetime='2014-09-23 18:19:12'--stop-datetime='2014-09-25 21:53:56' mysql-bin.000472>472.SQL
2. mysqlbinlog --database=[db_name]--start-datetime='2014-09-23 18:19:12'--stop-datetime='2014-09-25 21:53:56' mysql-bin.000473>473.SQL
3. mysqlbinlog --database=[db_name]--start-datetime='2014-09-23 18:19:12'--stop-datetime='2014-09-25 21:53:56' mysql-bin.000474>474SQL

6.Binlog生成的SQL脚本导入：

待20140923.db_name导入到恢复测试库之后，将MySQLBinlog生成的SQL脚本导入到数据库中：

1. mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name <472.sql 
2. mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name <473.sql 
3. mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name <474.sql

7.导入完成后检查数据正确性：

大致看一下数据的情况，然后可以通过时间字段来看一下情况：

1. mysql>select max(createtime),max(updatetime)from table_name;
2. +-----------------+-----------------+
3. | max(createtime)| max(updatetime)|
4. +-----------------+-----------------+
5. |1411648043|1411648043|
6. +-----------------+-----------------+
7. 1 row inset(0.00 sec)

时间差不多为 晚上20:27了

这个判断，作为DBA，查看部分数据，只能起到辅助作用，具体的需要 到底是否OK，需要业务开发的人来判断。

经过业务开发确认后，即可将该数据导出后，再导入到线上主库中。

8、将该库导出，并压缩：

1. mysqldump -uroot -pxxxxxx -S /tmp/mysql.sock -q db_name table_name > table_name.sql 

压缩：

1. gzip table_name.sql

scp 到主库 （复制的时候，请将网络因素考虑进去，确认不会占用过多带宽而影响其他线上业务）

9.恢复测试的数据导入到线上主库中：

线上主库操作：

操作之前，最好让开发把应用业务那段先暂停，否则可能会影响导入。比如这个表示MyISAM的，应用那边如果不听有update进来，就会阻塞数据导入。

a、主库将原始被篡改的表改名：（不要上来就drop，先rename，后续确认没问题了再考虑drop，因为很多问题不是一瞬间就能全部反映上来的）

1. rename table_name to old_table_name;

b、解压：

1. gunzip -d table_name.sql.gz

c、导入新表数据：

1. mysql -uroot -pxxxxxx -S /tmp/mysql.sock db_name < table_name.sql

后面就需要开发来进一步验证数据是否 OK 了。 验证没问题后，再启动应用程序。

本文永久更新链接地址：