服务器数据恢复环境:
一台linux操作系统服务器上跑了几十个网站,服务器上只有一块SATA硬盘。
服务器故障:
服务器突然宕机,尝试再次启动失败。将硬盘拆下检测,发现存在坏扇区。找当地一家数据恢复公司处理后,没有将数据恢复出来。北亚企安数据恢复中心接到用户方的求助后分析故障原因。
1、出现坏道后,用户可能执行过fsck的操作,导致数据的进一步破坏。
2、根据部分块组全为0的情况来看,还极有可能执行过mkfs操作,但是没有完成操作。
3、送修的数据恢复公司在处理过程中有再次破坏数据的可能性。
服务器数据恢复过程:
1、将故障服务器中硬盘取出,硬件工程师对这块磁盘进行检测后发现这块硬盘确实存在坏道。使用专业镜像工具以只读方式将硬盘进行扇区级完整镜像,镜像完成后将硬盘按照原样还原到原服务器中,后续的数据分析和数据恢复操作都基于镜像文件进行,避免对原始磁盘数据造成二次破坏。
2、基于镜像文件分析硬盘底层数据。该硬盘上总共只划分了两个分区:100M的boot分区和利用剩下空间划分的/分区,/分区通过LVM管理,文件系统均为EXT3。根分区超级块正常,根据超级块查看第一块组描述表正常,但节点区全为0。
3、根据块组描述表分析其他块组,发现前27个块组全部为0,但块组前后的数据区明显存在数据。中间块组区元数据正常(描述表、节点、BITMAP等),最后部分块组的元数据区全部为0。
4、尝试查找根目录,以根目录为线索恢复根目录节点区。
5、北亚企安数据恢复工程师根据恢复的根目录节点区与根目录记录生成文件系统树。文件系统树生成后后已经可以看到大量数据。文件系统结构正常,但部分文件或文件夹的节点为0。通过节点跟踪,发现节点区位于文件系统前部分及后部分。
6、试图恢复节点区为0的文件与文件夹。经过一番尝试,大部分文件夹恢复成功,但大部分文件无法恢复。
7、试图恢复用户曾做过的.TAR和.GZ备份包。虽然恢复成功,但是打开这些包时提示出错,中间数据被破坏,只能导出部分网站数据。
8、经过用户方的检测,发现重要数据已经恢复,已经超出预期。认可数据恢复结果。
Tips:
1、如果有重要数据,不能只用单盘做存储。
2、做好备份工作,尽量将备份包放在不同的存储体上,最起码不要放到同一分区下。
3、硬盘出现故障后,一定不要自己尝试恢复数据,在做任何操作和决定之前应先做完整备份。
4、尽可能选择专业正规的数据恢复服务商处理,避免对数据造成故意或者无意的二次破坏。
