服務器數據恢復環境：

一臺linux操作系統網站服務器，該服務器上部署了幾十個網站，服務器上只有一塊SATA硬盤。

服務器故障&分析：

服務器正常運行中突然宕機，管理員嘗試多次重新啟動服務器失敗，將服務器上的硬盤拆下進行檢測，發現該硬盤存在上百個壞扇區。

北亞企安數據恢復工程師對該服務器硬盤的初步檢測后得到以下判斷：

1、發現硬盤上有壞道后，工作人員嘗試進行自動或手動的fsck操作，導致硬盤上的數據進一步遭到破壞。

2、硬盤上的部分塊組全為0，工作人員可能做過未完成的mkfs操作。

服務器數據恢復過程：

1、將故障服務器硬盤以只讀方式進行完整的鏡像備份，后續的數據分析和數據恢復操作都基于鏡像文件進行，避免對原始磁盤數據造成二次破壞。

2、基于鏡像文件分析底層數據。經過分析發現硬盤共劃分了2個分區：100M的boot分區和剩余空間的/分區(通過LVM管理)，文件系統為EXT3。根分區超級塊正常，第一塊組描述表正常，但節點區全為0。

3、根據塊組描述表分析其他塊組，發現前27個塊組全部為0，但塊組前后的數據區存在數據;中間塊組區元數據(描述表、節點、BITMAP等)正常;后面部分塊組的元數據區全為0。

4、查找根目錄，以根目錄為線索恢復根目錄節點區。

5、以生成的根目錄節點區與根目錄記錄生成文件系統樹。操作完成后已經可以看到大量數據。經過檢查發現文件系統結構正常，但部分文件或文件夾的節點為0。通過節點跟蹤，發現節點區位于文件系統前部分及后部分。

6、恢復節點區為0的文件與文件夾，經過一系列操作，大部分文件夾恢復成功，但大部分文件無法恢復。

7、恢復用戶之前做的.TAR.GZ備份包，但打開時提示出錯，經過檢查發現出錯原因是中間數據被破壞，只能導出部分網站數據。

8、恢復完成后，由用戶方對數據進行檢查，重要的網站數據都已經恢復出來了，丟失的那部分數據不影響正常業務，認可恢復結果。

服務器數據安全Tips：

1、重要的數據一定不要使用單盤存儲。

2、一定要做好備份。備份盡量不要放到同一存儲體上，至少不要放在同一分區。

3、發現硬盤故障后，不要反復嘗試處理，在做任何處理之前一定要做完整備份。

4、選擇專業正規的機構進行處理。

審核編輯：湯梓紅