longjiankang 2009-05-13
[数据恢复故障描述]
一台Linux网站服务器,DELL R200,管理约50个左右网站,使用一块SATA 160GB硬盘。正常使用中突然宕机,尝试再次启动失败,将硬盘拆下检测时发现存在约100个坏扇区。
某数据恢复公司修复坏道后,尝试了约3天时间,未恢复成功。
[数据恢复过程]
接到盘后,首先通过PC3K with DE对故障盘进行完整镜像操作,在镜像中进行数据分析。
整块硬盘由两个分区组成:100M的boot分区及剩余空间的/分区(通过LVM管理),文件系统均为Ext3。
根分区超级块正常,根据超级块查看第一块组描述表正常,但节点区全为0。
根据块组描述表分析其他块组,发现前27个块组全部为0,但块组前后的数据区明显有用户数据存在。
中间块组区元数据正常(描述表、节点、BITMAP等)
最后部分块组的元数据区全部为0。
试图查找根目录,找到。
以根目录为线索,恢复根目录节点区,成功。
以生成的根目录节点区与根目录记录生成文件系统树,成功后已经可以看到大量数据,文件系统结构正常。但部分文件或文件夹的节点为0,通过节点跟踪,发现节点区位于文件系统前部分及后部分。
试图恢复节点区为0的文件与文件夹,文件夹大部分恢复成功,但文件大部分无法恢复。
试图恢复用户曾做过的.TAR.GZ备份包,恢复成功,但打开时提示出错,中间数据被破坏,只能有限导出部分网站。
最终评估约70%的数据恢复成功。
[数据恢复故障原因推断]
数据恢复的故障原因往往无法明确得知,此例中仅仅推断如下:
1、出现坏道后,用户可能试图进行自动或手工的fsck操作,导致进一步的灾难。
2、以部分块组全为0看,有可能做过未完成的mkfs。
3、送修的数据恢复公司并不专业,有破坏数据的可能性。
[给用户的建议]
1、重要的数据一定不要用单盘做存储环境,目前构架一套简单的RAID并不需要很大的投入。
2、一定要做好备份工作,最起码,备份包不要放到同一存储体上,退而求其次,也一定不要放到同一分区下。
3、硬盘出现故障后,一定不要反复尝试处理,应尽快做完整备份操作。
4、尽可能选择专业一点的数据恢复公司进行处理,不专业的公司或个人公司部分做事相当无耻,无意或有意的会对故障盘进行破坏(有意的目的是为了提高报价要挟或维持名声)。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://zhangyu.blog.51cto.com/197148/155442
作者:张宇,北亚服务器数据恢复中心,转载请联系作者,如果实在不想联系作者,至少请保留版权,谢谢。