服務(wù)器數(shù)據(jù)恢復(fù)環(huán)境：

一臺linux操作系統(tǒng)網(wǎng)站服務(wù)器，該服務(wù)器上部署了幾十個網(wǎng)站，服務(wù)器上只有一塊SATA硬盤。

服務(wù)器故障&分析：

服務(wù)器正常運行中突然宕機，管理員嘗試多次重新啟動服務(wù)器失敗，將服務(wù)器上的硬盤拆下進(jìn)行檢測，發(fā)現(xiàn)該硬盤存在上百個壞扇區(qū)。

北亞企安數(shù)據(jù)恢復(fù)工程師對該服務(wù)器硬盤的初步檢測后得到以下判斷：

1、發(fā)現(xiàn)硬盤上有壞道后，工作人員嘗試進(jìn)行自動或手動的fsck操作，導(dǎo)致硬盤上的數(shù)據(jù)進(jìn)一步遭到破壞。

2、硬盤上的部分塊組全為0，工作人員可能做過未完成的mkfs操作。

服務(wù)器數(shù)據(jù)恢復(fù)過程：

1、將故障服務(wù)器硬盤以只讀方式進(jìn)行完整的鏡像備份，后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作都基于鏡像文件進(jìn)行，避免對原始磁盤數(shù)據(jù)造成二次破壞。

2、基于鏡像文件分析底層數(shù)據(jù)。經(jīng)過分析發(fā)現(xiàn)硬盤共劃分了2個分區(qū)：100M的boot分區(qū)和剩余空間的/分區(qū)(通過LVM管理)，文件系統(tǒng)為EXT3。根分區(qū)超級塊正常，第一塊組描述表正常，但節(jié)點區(qū)全為0。

3、根據(jù)塊組描述表分析其他塊組，發(fā)現(xiàn)前27個塊組全部為0，但塊組前后的數(shù)據(jù)區(qū)存在數(shù)據(jù)；中間塊組區(qū)元數(shù)據(jù)(描述表、節(jié)點、BITMAP等)正常；后面部分塊組的元數(shù)據(jù)區(qū)全為0。

4、查找根目錄，以根目錄為線索恢復(fù)根目錄節(jié)點區(qū)。

5、以生成的根目錄節(jié)點區(qū)與根目錄記錄生成文件系統(tǒng)樹。操作完成后已經(jīng)可以看到大量數(shù)據(jù)。經(jīng)過檢查發(fā)現(xiàn)文件系統(tǒng)結(jié)構(gòu)正常，但部分文件或文件夾的節(jié)點為0。通過節(jié)點跟蹤，發(fā)現(xiàn)節(jié)點區(qū)位于文件系統(tǒng)前部分及后部分。

6、恢復(fù)節(jié)點區(qū)為0的文件與文件夾，經(jīng)過一系列操作，大部分文件夾恢復(fù)成功，但大部分文件無法恢復(fù)。

7、恢復(fù)用戶之前做的.TAR.GZ備份包，但打開時提示出錯，經(jīng)過檢查發(fā)現(xiàn)出錯原因是中間數(shù)據(jù)被破壞，只能導(dǎo)出部分網(wǎng)站數(shù)據(jù)。

8、恢復(fù)完成后，由用戶方對數(shù)據(jù)進(jìn)行檢查，重要的網(wǎng)站數(shù)據(jù)都已經(jīng)恢復(fù)出來了，丟失的那部分?jǐn)?shù)據(jù)不影響正常業(yè)務(wù)，認(rèn)可恢復(fù)結(jié)果。

服務(wù)器數(shù)據(jù)安全Tips：

1、重要的數(shù)據(jù)一定不要使用單盤存儲。

2、一定要做好備份。備份盡量不要放到同一存儲體上，至少不要放在同一分區(qū)。

3、發(fā)現(xiàn)硬盤故障后，不要反復(fù)嘗試處理，在做任何處理之前一定要做完整備份。

4、選擇專業(yè)正規(guī)的機構(gòu)進(jìn)行處理。