數(shù)據(jù)庫數(shù)據(jù)恢復(fù)環(huán)境：

合肥某大學(xué)一臺(tái)安裝redhat linux操作系統(tǒng)的服務(wù)器，采用ext3文件系統(tǒng)，服務(wù)器部署有mysql數(shù)據(jù)庫用來存儲(chǔ)&管理教職員工和學(xué)生的信息。

編寫好的腳本每天會(huì)定時(shí)將數(shù)據(jù)庫文件打包成tar.gz備份到本地磁盤的其他分區(qū)并刪除前一天的備份文件。

服務(wù)器遭受攻擊，所有數(shù)據(jù)庫文件（包括備份）被惡意刪除。

本案例是ext3文件系統(tǒng)數(shù)據(jù)被刪除，若刪除的文件數(shù)量比較少且刪除后沒有或者只有很少的寫入，恢復(fù)出數(shù)據(jù)的概率比較高。

數(shù)據(jù)庫數(shù)據(jù)恢復(fù)過程：

1、對(duì)故障服務(wù)器所有硬盤以只讀方式進(jìn)行鏡像備份，鏡像過程中發(fā)現(xiàn)所有硬盤的物理狀態(tài)良好。

2、根據(jù)用戶提供的信息確定原數(shù)據(jù)庫文件及備份文件的存儲(chǔ)路徑。查看系統(tǒng)日志發(fā)現(xiàn)服務(wù)器遭受攻擊這一天的數(shù)據(jù)庫文件已經(jīng)備份成功，而且數(shù)據(jù)庫備份文件所在分區(qū)在數(shù)據(jù)庫文件被惡意刪除后只有很少的寫入操作，而原數(shù)據(jù)庫文件所在的系統(tǒng)分區(qū)在數(shù)據(jù)庫文件被惡意刪除后又生成過新的系統(tǒng)及臨時(shí)文件。

3、分析數(shù)據(jù)庫備份文件所在分區(qū)，根據(jù)文件系統(tǒng)保留的備份文件相關(guān)信息，北亞數(shù)據(jù)恢復(fù)工程師將文件inode結(jié)點(diǎn)回溯至數(shù)據(jù)刪除前的狀態(tài)，然后將備份文件遷移出來。

4、解壓所有恢復(fù)出來的tar.gz文件，并將數(shù)據(jù)庫文件附加到準(zhǔn)備好的數(shù)據(jù)庫環(huán)境中對(duì)數(shù)據(jù)庫記錄進(jìn)行校驗(yàn)，確認(rèn)數(shù)據(jù)無誤后交付給用戶驗(yàn)證。

5、用戶親自對(duì)數(shù)據(jù)庫文件進(jìn)行驗(yàn)證，沒有發(fā)現(xiàn)問題。協(xié)助用戶把恢復(fù)出來的數(shù)據(jù)遷移到用戶準(zhǔn)備好的環(huán)境中。

1、操作系統(tǒng)密碼盡量設(shè)置復(fù)雜以增加系統(tǒng)、數(shù)據(jù)存儲(chǔ)和應(yīng)用的安全性；

2、數(shù)據(jù)庫文件的備份最好不要直接備份到服務(wù)器本地硬盤，最好能通過網(wǎng)絡(luò)或者其他方式備份到其他存儲(chǔ)中；

3、發(fā)現(xiàn)數(shù)據(jù)丟失后應(yīng)盡快停止所有的針對(duì)丟失數(shù)據(jù)所在分區(qū)的操作。