经济观察网 记者 任晓宁 2月23日晚上到25日中午，微盟经历了惊心动魄36小时。到目前，微盟的服务仍未彻底恢复。

2月23日晚，微盟服务器出现故障，商家商城、小程序均无法登陆。商家在社交平台抱怨声起，一位经营海鲜的商家说，已经卖了几百万元提货卡，现在不能发货，非常着急。

25日中午，微盟发出声明，称这次事故系人为造成，微盟研发中心运维部核心运维人员贺某，于2月23日晚18点56分通过个人VPN登入公司内网跳板机，因个人精神、生活等原因对微盟线上生产环境进行恶意破坏。目前，贺某被上海市宝山区公安局进行刑事拘留，并承认了犯罪事实。

微盟去年在香港上市，主要为商家提供微商城、智慧零售、餐饮o2o、小程序等解决方案，林清轩、百草味，以及众多餐饮公司点餐小程序均由微盟提供服务。根据微盟财报，截至2019年上半年，微盟拥有300万注册企业商户。

2月25日，微盟开盘跌超5%，随后股价上涨，收盘时上涨4%，当前市值138亿港元。

截至经济观察网发稿，微盟仍未彻底恢复。记者登陆微盟的主要客户林清轩微信小程序，以及微盟自己的官方小程序“微盟微商城”，显示“系统更新维护中，预计恢复时间2月25日12:00”。但截至25日晚上，二者仍未恢复。

微盟预计，2月25日晚上24点前，微盟所有新用户将可恢复服务，老用户由于数据修复时间问题，预计老用户数据修复将可在2月28日晚上24点前完成。

对于微盟公司及商家，此次事故不亚于一场天降横祸。曾从事多年运维工作的知数堂创始人叶金荣告诉记者，这次事件，不同于常见的黑客入侵或误操作，而是源于内部发起的破坏，这种是最可怕、最难防范的行为，“我相信超过80%甚至90%的中小型公司，都无法避免这个问题。”这种意外事故，受害人除了公司、员工，更多的是商户，因此，需要反思和预防此类事件一再发生。

为什么恢复这么慢

23日开始，“微盟崩了”、“微盟崩溃超过24小时”在微博成为热议话题，截至25日晚，后一个话题阅读量超百万。商家们担心，他们的历史数据、订单会因此受到影响，也担心因不能及时发货影响用户评价。

此前，也有公司发生过数据库崩盘事件，但大多在几小时之内就能恢复。这一次，微盟为何长达36小时后，还是不能恢复数据？

叶金荣告诉记者，数据恢复时间快慢，一方面是因为数据量，另一方面则是困难程度。此次微盟事件，是被删除全部数据，恢复起来是要慢一些，而且还要进行校验。

他经过侧面了解，这起事件主要的影响是，数据库的主备库都被删了，并且执行的是类似"rm -fr /"这样的操作。这种行为，基本上只能通过其他备库或物理备份来恢复了。更糟糕的是，这次事故赶上特殊情况，“大家都在家远程办公，协同起来肯定更慢，也影响了恢复速度，真是祸不单行”。

微盟使用的是腾讯云服务，目前，腾讯云技术团队已经支援微盟。腾讯云方面对记者回应称，微盟运维事故发生后，腾讯云的技术团队已经在第一时间与微盟对齐，研究制定修复方案。“工程师们正在日夜赶工，我们将尽最大努力协助微盟降低损失。”

备份及权限的重要性

一个员工破坏数据库，就导致整个公司数据库崩盘36小时以上，带来巨大损失。这种看起来匪夷所思的行为，在2月23日真实发生了。天降横祸背后，企业也应对数据保护进行反思，并预防此类事件一再发生。

叶金荣分析说，本次事件中，短时间内造成大面积服务器故障，基本可以断定是因为工具批量分发命令导致的。他建议，企业一定要进行权限分级，包括业务范围分级，区分业务运维、系统运维、网络运维、DBA等多重角色，每个角色都只能接触自己所负责的那票业务服务器，以及相应可执行的权限。

“分级措施想做到位，就得有足够的人员，公司上市的目的就是通过融资以改善运营状况，该招人就招人吧。”

叶金荣有多年运维从业经历，仅有一次比较严重的故障，就是栽在没及时进行备份恢复测试校验。“备份的重要性无需多言”，他建议，除了本地备份，还应该有异地备份，并且要区分本地备份和异地备份责任人的权限，交由不同等级的人管理，防止恶意破坏时，把全套备份都一把火烧了。另外，除了逻辑备份外，还应该有物理备份，因为物理备份恢复起来会更快一些。

员工已被刑事拘留

事故发生后，微盟对破坏生产环境的犯罪嫌疑人进行追踪分析，定位到犯罪嫌疑人登录账号及IP地址，并于2月24日向宝山区公安局报案，目前犯罪嫌疑人贺某已经被宝山区公安局进行刑事拘留。

炜衡律师事务所合伙人律师李可书告诉记者，从微盟公开的信息看，员工贺某可能涉嫌触犯刑法第276条的破坏生产经营罪，或是刑法286条的破坏计算机信息系统罪。

按照法律规定，破坏生产经营罪，即由于泄愤报复或者其他个人目的，毁坏机器设备、残害耕畜或者以其他方法破坏生产经营的，处三年以下有期徒刑、拘役或者管制；情节严重的，处三年以上七年以下有期徒刑。破坏计算机信息系统罪，即违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。 

贺某是否触犯刑法，需满足主体、客体、主观方面、客观方面4个方面的认定。“主体主要区分是否是正常行为能力人、限制行为能力人还是无行为能力人，客体指侵犯了刑法所保护而为犯罪所侵犯的社会关系，主观方面主要区分是否故意/过失，客观方面指刑法规定的具有社会危害性应受刑法处罚的行为，以及由此行为造成或可能造成的危害社会的结果，”李可书告诉记者，如果4点都能满足，就可能涉嫌犯罪。

该员工为何破坏数据库，目前还没有明确结论。微盟称，对因远程办公而疏忽对员工精神状态的关注而深表痛惜。

对于商家的损失，微盟正在拟定相关赔付方案补偿，“我们对此次因人为造成的事故灾难无比愧疚，我们今后将一定吸取这个惨痛的教训，加强对线上运维的治理”。

此次微盟宕机造成的损失，目前也没有最终数据。叶金荣告诉记者，删库最严重的影响，应该是会丢失一部分旧客户的数据，从公告的情况来看，应该不会特别严重。此次腾讯云安排了技术专家协助，他认为，从云服务器历史快照备份里，还是有望能恢复大部分数据的。