删库跑路?不用怕!记一次阿里云服务器删除后恢复
原本以为今天和往常一样平淡无奇,但凡事总有意外,总有惊喜。
使用火眼仿真取证软件不用做任何格式转换,直接仿真起来(默认会重置服务器账号:root,密码:123456),还原服务器原始状态,从而逐步找到我们想要的关键数据。
上图表明,系统是CentOS 6.5,由于本次主要是查看数据库内容,所以优先做数据库还原,使用命令:
mysql --help|grep my.cnf
查看当前运行的mysql使用的配置文件my.cnf,如下图:
定位到配置文件后,使用命令:
cat /etc/my.cnf
查看其内容,如下图:
/home下发现网站后台,在/home/wwwroot/default/wstmart/config/database.php找到数据库配置文件,得到数据库账号:root,密码:ze@xi2019xin#.******。
当我们尝试启动数据库服务时,发现无法正常运行。检查本地文件后,发现数据库的数据目录文件为空,可能被嫌疑人恶意清空了。
使用phpstudy,下载镜像中数据库使用的版本。
把还原出来的数据库文件复制到phpstudy的MySQL数据库data目录中。
从上图中,我们可以看到,在表中文件显示完整,表示此次恢复比较顺利。
通常情况下,服务器的I/O读写持续且频繁,时间过得越久,被覆盖的可能性就会增加。所以,尽早固定磁盘是本次数据能够成功恢复的关键。
各位看官如果想了解服务器固定、仿真等产品详情,或者有任何建议和疑问,可公众号留言或拨打服务热线400-800 3721咨询。
评论