服务器数据恢复环境:
一台linux操作系统网站服务器,该服务器上部署了几十个网站,使用一块SATA硬盘。
服务器故障&原因:
服务器在工作过程中突然宕机。管理员尝试重新启动服务器失败,于是将服务器上的硬盘拆下检测,发现很多坏扇区。联系当地的一家数据恢复公司处理,但是没有成功。
当用户方联系我们后,经过沟通和初步检测,工程师对服务器故障问题进行初步推断。
1、服务器硬盘出现坏道后,用户试图进行fsck操作,让问题更加严重。
2、以部分块组全为0来看,可能做过未完成的mkfs。
3、先找的这家公司在恢复数据的过程中存在进一步破坏数据的可能性。
服务器数据恢复过程:
1、使用专业工具以只读方式将这块硬盘进行完整镜像,并在镜像过程中分析数据。服务器操作系统层面划分了两个分区:100M的boot分区和/分区(剩余空间全部分配到该分区并通过LVM管理),文件系统均为EXT3。根分区超级块正常,根据超级块查看{BANNED}中国第一块组描述表正常,但节点区全为0。
2、北亚企安数据恢复工程师根据块组描述表分析其他块组,发现前几十个块组全部为0,但块组前后的数据区明显有数据存在。中间块组区元数据正常(描述表、节点、BITMAP等),{BANNED}最佳后部分块组的元数据区全部为0。
3、试图查找根目录,以根目录为线索恢复根目录节点区。
4、以生成的根目录节点区与根目录记录生成文件系统树,文件系统树生成后已经可以看到大量数据,而且文件系统结构正常,但部分文件或文件夹的节点为0。通过节点跟踪,发现节点区位于文件系统前部分及后部分。
5、试图恢复节点区为0的文件与文件夹,文件夹大部分恢复成功,但文件大部分无法恢复。
6、试图恢复之前做的.TAR.GZ备份包,但打开时报错,中间数据被破坏,只能导出部分网站数据。
7、经过检查核对,用户确认需要的重要数据已经成功恢复出来,认可数据恢复结果。
TIPS:
1、服务器上的重要的数据一定不要放在单盘上,尽量通过raid来存放数据。
2、做好备份工作,尽量将备份包放到不同的存储体上。退而求其次,也一定不要放到同一分区下。
3、硬盘出现故障后,在进行任何操作之前,先做完整备份。
4、选择专业正规的数据恢复公司,不专业的公司或个人会无意(技术原因)或有意对数据造成二次破坏。