服務(wù)器數(shù)據(jù)恢復—硬盤出現(xiàn)壞扇區(qū)導致網(wǎng)站服務(wù)器宕機的數(shù)據(jù)恢復案例

服務(wù)器數(shù)據(jù)恢復環(huán)境：
一臺linux操作系統(tǒng)服務(wù)器上跑了幾十個網(wǎng)站，服務(wù)器上只有一塊SATA硬盤。

服務(wù)器故障：
服務(wù)器突然宕機，嘗試再次啟動失敗。將硬盤拆下檢測，發(fā)現(xiàn)存在壞扇區(qū)。找當?shù)匾患覕?shù)據(jù)恢復公司處理后，沒有將數(shù)據(jù)恢復出來。北亞企安數(shù)據(jù)恢復中心接到用戶方的求助后分析故障原因。
1、出現(xiàn)壞道后，用戶可能執(zhí)行過fsck的操作，導致數(shù)據(jù)的進一步破壞。
2、根據(jù)部分塊組全為0的情況來看，還極有可能執(zhí)行過mkfs操作，但是沒有完成操作。
3、送修的數(shù)據(jù)恢復公司在處理過程中有再次破壞數(shù)據(jù)的可能性。

北亞企安數(shù)據(jù)恢復—Linux數(shù)據(jù)恢復

服務(wù)器數(shù)據(jù)恢復過程：
1、將故障服務(wù)器中硬盤取出，硬件工程師對這塊磁盤進行檢測后發(fā)現(xiàn)這塊硬盤確實存在壞道。使用專業(yè)鏡像工具以只讀方式將硬盤進行扇區(qū)級完整鏡像，鏡像完成后將硬盤按照原樣還原到原服務(wù)器中，后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復操作都基于鏡像文件進行，避免對原始磁盤數(shù)據(jù)造成二次破壞。
2、基于鏡像文件分析硬盤底層數(shù)據(jù)。該硬盤上總共只劃分了兩個分區(qū)：100M的boot分區(qū)和利用剩下空間劃分的/分區(qū)，/分區(qū)通過LVM管理，文件系統(tǒng)均為EXT3。根分區(qū)超級塊正常，根據(jù)超級塊查看第一塊組描述表正常，但節(jié)點區(qū)全為0。
3、根據(jù)塊組描述表分析其他塊組，發(fā)現(xiàn)前27個塊組全部為0，但塊組前后的數(shù)據(jù)區(qū)明顯存在數(shù)據(jù)。中間塊組區(qū)元數(shù)據(jù)正常(描述表、節(jié)點、BITMAP等)，最后部分塊組的元數(shù)據(jù)區(qū)全部為0。
4、嘗試查找根目錄，以根目錄為線索恢復根目錄節(jié)點區(qū)。
5、北亞企安數(shù)據(jù)恢復工程師根據(jù)恢復的根目錄節(jié)點區(qū)與根目錄記錄生成文件系統(tǒng)樹。文件系統(tǒng)樹生成后后已經(jīng)可以看到大量數(shù)據(jù)。文件系統(tǒng)結(jié)構(gòu)正常，但部分文件或文件夾的節(jié)點為0。通過節(jié)點跟蹤，發(fā)現(xiàn)節(jié)點區(qū)位于文件系統(tǒng)前部分及后部分。
6、試圖恢復節(jié)點區(qū)為0的文件與文件夾。經(jīng)過一番嘗試，大部分文件夾恢復成功，但大部分文件無法恢復。
7、試圖恢復用戶曾做過的.TAR和.GZ備份包。雖然恢復成功，但是打開這些包時提示出錯，中間數(shù)據(jù)被破壞，只能導出部分網(wǎng)站數(shù)據(jù)。
8、經(jīng)過用戶方的檢測，發(fā)現(xiàn)重要數(shù)據(jù)已經(jīng)恢復，已經(jīng)超出預(yù)期。認可數(shù)據(jù)恢復結(jié)果。

Tips：
1、如果有重要數(shù)據(jù)，不能只用單盤做存儲。
2、做好備份工作，盡量將備份包放在不同的存儲體上，最起碼不要放到同一分區(qū)下。
3、硬盤出現(xiàn)故障后，一定不要自己嘗試恢復數(shù)據(jù)，在做任何操作和決定之前應(yīng)先做完整備份。
4、盡可能選擇專業(yè)正規(guī)的數(shù)據(jù)恢復服務(wù)商處理，避免對數(shù)據(jù)造成故意或者無意的二次破壞。

審核編輯 黃宇