服務器誤操作刪除lun的數據恢復案例
服務器數據恢復環境&故障:
北京某公司一臺配有72塊SAS硬盤的服務器,管理員誤操作刪除了該服務器中的12個lun,這12個lun中包含了該公司的客戶信息以及其他重要數據,急需恢復服務器數據。
服務器數據恢復過程:
1、將故障服務器所有硬盤以只讀方式做扇區級別的鏡像備份。后續的數據分析和數據恢復操作都基于鏡像文件進行,避免對原始數據造成二次破壞。
2、北亞企安數據恢復工程師基于鏡像文件分析服務器底層數據,找到盤頭位置的超級塊,通過分析超級塊信息獲取到磁盤組的起始塊信息、磁盤組名稱、邏輯組起始塊號、raid編號等基本信息。
分析超級塊:
北亞企安數據恢復——Netapp數據恢復
3、通過分析得知每個數據塊占8個扇區,數據塊后附加64字節數據塊描述信息,根據這些信息判斷出作為校驗盤的磁盤并在數據恢復過程中將這些磁盤剔除。
0x10:6字節為aggr_data塊號
如果0x10處為FFFF表示校驗塊
校驗塊描述信息樣例:
北亞企安數據恢復——Netapp數據恢復
4、在進行盤序分析時可以根據每塊磁盤8號扇區的磁盤信息和磁盤末尾的RAID盤序表來確定盤序。
a、確定各個磁盤所屬aggr組。
b、判斷組內盤序。數據指針跳轉時不考慮校驗盤,只需要取得數據盤的盤序即可。
aggr_raid(磁盤靠近尾部) 根據10H處的VCN塊號判斷磁盤組內各盤的順序
分析盤序表:
北亞企安數據恢復——Netapp數據恢復
小貼士:Netapp的節點分布在數量眾多的數據塊內,在數據塊內又被統一組織為節點組。每個節點組的前64字節記錄系統數據,然后以192字節為一項來記錄各個文件節點。文件節點根據用戶級別分為兩類:“MBFP”系統文件節點和“MBFI”用戶文件節點,數據恢復一般只需要MBFI節點組。
服務器節點樣例圖:
北亞企安數據恢復——Netapp數據恢復
說明:
頭部信息64字節(此頭部為數據文件的節點文件塊頭部,大小為64字節)
標志,常量(“MBFP”為元文件的節點標志,“MBFI”為用戶文件的節點標志)
5、根據更新序列值獲取到最新節點。解析節點中節點類型、邏輯塊號、文件數量、文件大小、所占塊數量及數據指針,獲取節點在節點文件中的邏輯塊號,從0開始計數。
6、獲取目錄項,并根據其節點編號,找到對應節點。
獲取服務器內對應節點截圖:
北亞企安數據恢復——Netapp數據恢復
7、提取服務器數據。
a、掃描節點信息。
掃描服務器節點信息:
北亞企安數據恢復——Netapp數據恢復
節點掃描類:
北亞企安數據恢復——Netapp數據恢復
節點掃描程序完整流程:
北亞企安數據恢復——Netapp數據恢復
在循環掃描完畢之后會將所有掃描到的MBFP、MBFI和DOC數據塊分別寫入到三個文件內,用于后續處理。
b、將節點信息導入到數據庫。
將ScanNode掃描得到的MBFI和MBFP、Dir存入數據庫以備后續使用。
MBFI導入數據庫整體流程:
北亞企安數據恢復——Netapp數據恢復
函數執行完畢后查看數據庫得到如下信息:
北亞企安數據恢復——Netapp數據恢復
小貼士:Netapp在更改inode節點時不會直接覆蓋而是重新分配inode進行寫入。單個文件的節點node_uid唯一不變,mbfi_usn會隨著節點的變化而增大(正常情況下提取某個文件時使用usn最大的節點)。一般情況下存儲劃分出的單個節點會作為LUN映射到服務器使用,根據file_size可以確定這個文件的大小,按照文件大小分組后再選取usn最大值的節點,跳轉到MBFI文件的offset值偏移位置,取出節點。
節點樣例圖示:
北亞企安數據恢復——Netapp數據恢復
c、提取文件
在獲取到要提取的文件的Node之后,開始提取塊設備文件。
提取塊設備文件:
北亞企安數據恢復——Netapp數據恢復
初始化完畢后,開始提取文件的各級MAP,在本次提取過程中文件大小均大于1T,MAP層級為4,所以需要提取4次。第一級MAP默認只占用1個塊,所以在程序內直接提取,后三級MAP在GetAllMap函數內進行提取。通過塊號計算數據塊位置時,由于NetApp使用JBOD組織LVM,直接用塊號除以每塊磁盤上的塊數可得到當前塊所在的磁盤序號(計算機整數除法,丟棄小數邠);再使用塊號取余塊數,得到數據塊在此磁盤上的物理塊號,物理塊號乘以塊大小,得到數據塊偏移位置。
8、塊設備文件系統解析。
該案例的塊設備5T lun用的是aix小機的jfs2文件系統。因此需要解析jfs2文件系統,提取里面的數據庫備份文件。
7扇區記錄lvm描述信息,獲取pv大小和pv序號;找到vg描述區,獲取lv數和pv數;找到pv描述區,獲取pp序號和pp數。
解析文件系統塊信息:
北亞企安數據恢復——Netapp數據恢復
lv類型及率掛在信息區域:
北亞企安數據恢復——Netapp數據恢復
解析8個由大小1T的lun組成的oralce ASM文件系統,提取其中的數據庫文件。
添加8個lT的lun:
北亞企安數據恢復——Netapp數據恢復
解析asm文件系統,提取出數據庫文件:
北亞企安數據恢復——Netapp數據恢復
數據驗證:
北亞企安工程師對提取出來的數據進行檢測后沒有發現異常,聯系用戶方工程師親自進行驗證,經反復驗證,確認本次恢復出來的數據完整可用。
審核編輯黃宇
-
數據恢復
+關注
關注
10文章
580瀏覽量
17523
發布評論請先 登錄
相關推薦
服務器數據恢復—raid5陣列崩潰導致上層lun無法正常使用的數據恢復案例
服務器數據恢復—EVA存儲誤刪除VDISK的數據恢復案例
服務器數據恢復—SAN LUN Mapping出錯導致文件系統共享沖突的數據恢復案例
服務器數據恢復—EXT3文件系統下誤刪除數據的恢復案例
服務器數據恢復—SAN環境下LUN映射錯誤導致寫操作互斥失敗的數據恢復案例
服務器數據恢復—SAN環境下LUN映射出錯導致文件系統共享沖突的數據恢復案例
服務器數據恢復—EMC Isilon存儲中虛擬機數據恢復案例
服務器數據恢復—存儲中卷被刪除后重建如何恢復被刪除卷的數據?
服務器數據恢復—服務器XFS分區丟失,無法訪問的數據恢復案例
服務器數據恢復—EMC存儲下xfs文件系統數據恢復案例
服務器數據恢復—EVA存儲數據恢復案例
服務器數據恢復—非正常關機導致服務器文件丟失的數據恢復案例
【NetApp數據恢復】NetApp存儲誤操作刪除lun的數據恢復案例
工商網監
評論