删库跑路？不用怕！记一次阿里云服务器删除后恢复-轻识

原本以为今天和往常一样平淡无奇，但凡事总有意外，总有惊喜。

下班前，我们突然接到了一项紧急任务：有一台服务器在取证之时，被嫌疑人通过远程方式将关键数据删除了。

此时，第一优先级是：立刻固定磁盘镜像，因为每一秒都非常重要。

考虑到时间紧迫，技术工程师使用网探集成的高速云固定服务，近40GB的虚拟磁盘在17分钟左右即固定完成，并同步保存在安全可信的云存储空间，整体速度保持在30~50MB/秒，完全不受现场网络环境及存储空间影响。

上图是弘连网探服务器勘验软件首页面

仿真：还原现场

使用火眼仿真取证软件不用做任何格式转换，直接仿真起来（默认会重置服务器账号：root，密码：123456），还原服务器原始状态，从而逐步找到我们想要的关键数据。

关键数据：优先考虑看本地数据库信息

上图表明，系统是CentOS 6.5，由于本次主要是查看数据库内容，所以优先做数据库还原，使用命令：

mysql --help|grep my.cnf

查看当前运行的mysql使用的配置文件my.cnf，如下图：

定位到配置文件后，使用命令：

cat /etc/my.cnf

查看其内容，如下图：

从上图中，我们可以看出，数据文件目录在/usr/local/mysql/var里面。

接下来，我们尝试从网站代码中找到数据库连接信息：

/home下发现网站后台，在/home/wwwroot/default/wstmart/config/database.php找到数据库配置文件，得到数据库账号：root，密码：ze@xi2019xin#.******。

数据恢复

当我们尝试启动数据库服务时，发现无法正常运行。检查本地文件后，发现数据库的数据目录文件为空，可能被嫌疑人恶意清空了。

使用数据恢复软件扫描结果如下：

数据库文件恢复情况如下：

看上去数据并没有被覆盖，我们需要将数据库文件复制到安全的位置，准备下一步：重构数据库。

使用phpstudy重构数据库

使用phpstudy，下载镜像中数据库使用的版本。

将数据库文件复制到data目录下

把还原出来的数据库文件复制到phpstudy的MySQL数据库data目录中。

然后在phpstudy里面打开数据库管理工具，SQL_front，连接本地

。

从上图中，我们可以看到，在表中文件显示完整，表示此次恢复比较顺利。

最后的话

通常情况下，服务器的I/O读写持续且频繁，时间过得越久，被覆盖的可能性就会增加。所以，尽早固定磁盘是本次数据能够成功恢复的关键。

各位看官如果想了解服务器固定、仿真等产品详情，或者有任何建议和疑问，可公众号留言或拨打服务热线400-800 3721咨询。