服务器恢复数据

服务器数据恢复环境：

一台linux网站服务器；

一块SATA硬盘；

运行50个左右的网站。

服务器故障&分析：

服务器正常运行过程中宕机，管理员尝试重新启动失败。将硬盘从服务器上拆下来进行检测发现100个左右的坏扇区。送到

某数据恢复服务商修复坏道后进行数据恢复，花费了3天时间数据仍然没有恢复成功。管理员联系到我们数据恢复中心进行

数据恢复。

北亚服务器数据恢复工程师了解了服务器故障后，初步推断：

1、出现坏道后，用户可能试图进行自动或手工的fsck操作，导致进一步的数据破坏。

2、以部分块组全为0看，有可能做过未完成的mkfs操作。

3、送修的数据恢复过程有破坏数据的可能性。

服务器数据恢复过程：

1、首先通过软件对故障服务器硬盘进行完整的镜像备份，后续的数据恢复操作都在镜像中完成，避免对原始数据造成破坏。

2、基于镜像文件进行数据分析。整块硬盘由两个分区组成：“100M的boot分区”和“/分区(通过M管理)”，文件系统

均为EXT3。根分区超级块正常，根据超级块查看块组描述表正常，但节点区全为0。

3、根据块组描述表分析其他块组，发现前27个块组全部为0，但块组前后的数据区明显有用户数据存在。中间块组区元数据

(描述表、节点、BITMAP等)正常，后部分块组的元数据区全部为0。

4、试图查找根目录，以根目录为线索，尝试恢复根目录节点区。

5、北亚服务器数据恢复工程师以生成的根目录节点区与根目录记录生成文件系统树，完成这步操作后已经可以看到大量数据

，文件系统结构正常。但部分文件或文件夹的节点为0，通过节点跟踪，发现节点区位于文件系统前部分及后部分。

6、试图恢复节点区为0的文件与文件夹，文件夹大部分恢复成功，但文件大部分无法恢复。

7、试图恢复用户之前做过的.TAR.GZ备份包，恢复成功，但打开时提示出错，中间数据被破坏，只能有限导出部分网站。到

这步数据恢复工作完成。