ここ最近流行ってるらしい、データベースをクラックしてビットコインを要求するやつ。私も被害を受けてしまいました。基本的には下記URLと全く同じ被害となっています。
https://github.com/jerob/docker-ispconfig/issues/19

1. 被害にあったのは管理しているデータベース(MySQL)だけっぽい
2. DB名はそのままに、中身が空にされ「WARNING」というテーブルが追加される
   (本来はここに犯人のメアドなど書かれているらしいが、なぜかInsert失敗していた）
3. 「PLEASE_READ_ME_XMG」というデータベースが追加されていた(構成は2同様)

最低限セキュリティ対策は行っていたつもりですが、こんなことになるとは。友人のインフラエンジニアとも相談し、侵入経路は「2016年ごろに作られたバックドア」が有力。

• 最初からある（？）「mysql」DBに2016年から不審なデータインサートがされていた
• MySQLで使っているポートが、外部許可されていた(パスワードは乱数でかけてある)
• MySQLのユーザーに、身に覚えがないヤツが何人かいた(勘違いかもしれないけど…)

2016年といえば、ちょうどMySQLの脆弱性が流行った時期ですよね。つまりここ最近攻撃されたというより、昔作られた裏口からサクッと侵入されてしまったんじゃないかと。

すぐできる対策としては、MySQLは極力外部許可しない(せめてIP制限する)、不審なユーザーがいないか定期的に確認、データのバックアップはしっかり取っておこうですね。