删库跑路?不用怕!记一次阿里云服务器删除后恢复

弘连网络

共 1234字,需浏览 3分钟

 ·

2021-08-23 21:54


原本以为今天和往常一样平淡无奇,但凡事总有意外,总有惊喜。

下班前,我们突然接到了一项紧急任务:有一台服务器在取证之时,被嫌疑人通过远程方式将关键数据删除了。
此时,第一优先级是:立刻固定磁盘镜像,因为每一秒都非常重要
考虑到时间紧迫,技术工程师使用网探集成的高速云固定服务,近40GB的虚拟磁盘在17分钟左右即固定完成,并同步保存在安全可信的云存储空间,整体速度保持在30~50MB/秒,完全不受现场网络环境及存储空间影响。

上图是弘连网探服务器勘验软件首页面


仿真:还原现场

使用火眼仿真取证软件不用做任何格式转换,直接仿真起来(默认会重置服务器账号:root,密码:123456),还原服务器原始状态,从而逐步找到我们想要的关键数据。




关键数据:优先考虑看本地数据库信息

上图表明,系统是CentOS 6.5,由于本次主要是查看数据库内容,所以优先做数据库还原,使用命令:

mysql --help|grep my.cnf

查看当前运行的mysql使用的配置文件my.cnf,如下图:

 定位到配置文件后,使用命令:

cat /etc/my.cnf

查看其内容,如下图:

从上图中,我们可以看出,数据文件目录在/usr/local/mysql/var里面。
接下来,我们尝试从网站代码中找到数据库连接信息:

/home下发现网站后台,在/home/wwwroot/default/wstmart/config/database.php找到数据库配置文件,得到数据库账号:root,密码:ze@xi2019xin#.******。



数据恢复

当我们尝试启动数据库服务时,发现无法正常运行。检查本地文件后,发现数据库的数据目录文件为空,可能被嫌疑人恶意清空了。

使用数据恢复软件扫描结果如下:
数据库文件恢复情况如下:
看上去数据并没有被覆盖,我们需要将数据库文件复制到安全的位置,准备下一步:重构数据库。



使用phpstudy重构数据库

使用phpstudy,下载镜像中数据库使用的版本。




   将数据库文件复制到data目录下   

把还原出来的数据库文件复制到phpstudy的MySQL数据库data目录中。

然后在phpstudy里面打开数据库管理工具,SQL_front,连接本地



从上图中,我们可以看到,在表中文件显示完整,表示此次恢复比较顺利。




最后的话

通常情况下,服务器的I/O读写持续且频繁,时间过得越久,被覆盖的可能性就会增加。所以,尽早固定磁盘是本次数据能够成功恢复的关键。




各位看官如果想了解服务器固定、仿真等产品详情,或者有任何建议和疑问,可公众号留言或拨打服务热线400-800 3721咨询。


浏览 133
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报