服务器数据恢复案例.docx

服务器数据恢复是位于服务器存储介质上的信息都是数据任何使这些信息发生非主观意愿之外的变化都可视为破坏那么相应地，服务器数据恢复就是一个把服务器上异常数据还原成正常数据的过程对大多数企业和国家职能部门来说，服务器数据的重要性可以用一句话来概括：服务器有价，数据无价！2 重要性编辑随着电子政务、电子商务及全球信息化的发展，越来越多的国家职能部门、企事业单位及大型企业配备企业级服务器数据安全尤为重要了服务器用于自身信息系统的建设受服务器自身硬件技术的局限和技术人员的操作因素，服务器无法做到 100%的无故障发生存储着海量数据资料的服务器，特别是企业级的大型服务器一旦发生故障，将直接导致服务器内存储的海量数据丢失，造成国家职能部门、企事业单位及大型企业的严重数据灾难面对服务器的日益普及，服务器数据安全面临着巨大的挑战，而此时服务器数据恢复作为服务器数据安全最后一道防线，就显得尤为重要3 注意事项编辑在服务器发生故障后，需注意以下几点：1、服务器发生故障后，用户切忌再对服务器进行任何操作，也切忌随意取出硬盘，以免弄乱顺序增加后期数据恢复的难度2、如果已经取出硬盘，标记好硬盘的顺序3、求助专业服务器数据恢复公司的专业服务器数据恢复工程师，切忌随意交给不知名的小数据恢复公司。

4、如果单位服务器内存储的是保密度较高、或者较为重要的数据资料，建议配备单位内部服务器数据恢复设备，防止将数据库交由外部数据恢复公司进行数据恢复时，造成数据丢失或泄漏5、需要在专业人员帮助下抓取服务器阵列卡或存储管理系统里边的日志，为数据恢复提供数据恢复索引6、如需取出硬盘恢复，则将记录服务器硬盘接口对应编号在取服务器硬盘时应当佩戴静电手环，以防硬盘静电击伤逻辑层故障1、误删除、误格式化、误分区、误克隆、文件解密、病毒破坏等SDII 服务器恢复系统逻辑层恢复界面2、RAID 阵列信息丢失的3、RAID 卡损坏导致数据丢失4、RAID 升级迁移过程中误操作导致的数据丢失5、RAID5 阵列 2 块硬盘 OFFLINE 导致的数据丢失6、RAID 阵列内逻辑驱动器出现坏条带7、重新配置 RAID 阵列信息导致数据丢失8、RAID 阵列内磁盘顺序出错9、RAID 阵列系统崩溃服务器无法启动10、RAID 硬盘掉线，阵列内某块或多块硬盘无法识别11、RAID 阵列信息混乱12、RAID 意外断电等原因造成的 rebuild 失败RAID 物理层故障服务器物理层故障，主要是指服务器阵列 SAS、SCSI 硬盘由于硬盘内部磁头或者电机原因引起的故障，主要包括如下几种：1、硬盘通电敲盘；2、硬盘通电不转；3、硬盘通电不识别；RAID 坏道层故障服务器坏道层故障，主要是指，磁盘阵列中 SCSI、SAS 硬盘由于一块或者多块有坏道引起操作系统产生如下故障，1、无法启动；2、启动操作系统蓝屏；3、启动操作系统死机；RAID 固件层故障服务器固件层故障，主要是指，磁盘阵列中 SCSI、SAS 硬盘由于固件模块损坏或者丢失引起的一块或多块硬盘不识别，数据区不能正常访问。

5 错误提示编辑一般类型提示eth1: Too much work at interrupt, IntrStatus=0x0001这条提示的含意为. 某网卡的中断请求过多. 如果只是偶尔出现一次可忽略. 但这条提示如果经常出现或是集中出现,那涉及到的可能性就比较多有可能需要进行处理了.可能性比较多,如网卡性能;服务器性能;网络攻击..等等IPVS: incoming ICMP: failed checksum from 61.172.0.X!服务器收到了一个校验和错误的 ICMP 数据包 这类的数据包有可能是非法产生的垃圾数据.但从目前来看服务器收到这样的数据非常多.一般都忽略一般代理服务器在工作时会每秒钟转发几千个数据包.收到几个错误数据包不会影响正常的工作.这是问我最多的一类提示了NET: N messages suppressed.服务器忽略了 N 个数据包.和上一条提示类似.服务器收到的数据包被认为是无用的垃圾数据数据. 这类数据多是由攻击类的程序产生的这条提示如果 N 比较小的时候可以忽略.但如果经常或是长时间出现 3 位数据以上的这类提示.就很有可能是服务器受到了垃圾数据类的带宽攻击了。

UDP: bad checksum. From 221.200.X.X:50279 to 218.62.X.X:1155 ulen 24UDP: short packet: 218.2.X.X:3072 3640/217 to 222.168.X.X:57596218.26.131.X sent an invalid ICMP type 3, code 13 error to a broadcast: 0.1.0.4 on eth0服务器收到了一个错误的数据包.分别为 UDP 校验和错误; 过短的 UDP 数据包; 一个错误的 ICMP 类型数据. 这类信息一般情况下也是非法产生的但一般问题不大可直接忽略kernel: conntrack_ftp: partial 227 2205426703+13FTP_NAT: partial packet 2635716056/20 in 2635716048/2635716075服务器在维持一条 FTP 协议的连接时出错. 这样的提示一般都可以直接忽略网络通信严重出错提示NETDEV WATCHDOG: eth1: transmit timed outeth1: link downeth1: link up, 10Mbps, half-duplex, lpa 0x0000eth2: link up, 100Mbps, full-duplex, lpa 0x41E1setting full-duplex based on MII #24 link partner capability of 45e1这些提示是网络通信中出现严重问题时才会出现.故障基本和网络断线有关系. 这几条提示分别代表的含意是 某块网卡传送数据超时; 网卡连接 down; 网卡连接 up,连接速率为 10/100Mbps,全/半双功.这里写到的最后三行的提示比较类似. 出现这类提示时必须注意网络连接状况进行处理!!!NIC Link is Up 100 Mbps Full Duplex情况和 kernel: eth1: link up,...相同.指某块网卡适应的连接速率. 一般认为没有说明哪个网卡 down,只是连续出现网卡适应速率也是通信有问题。

如果是网线正常的断接可以忽略这类的信息eth0: Transmit timed out, status 0000, PHY status 786d, resetting... eth0: Reset not complete yet. Trying harder.第一条提示 网卡关送数据失败. 复位网卡. 第二条提示 网卡复位不成功.... 这些提示都属于严重的通信问题eth1: Transmit error, Tx status register 82. Probably a duplex mismatch. See Documentation/networking/vortex.txt Flags; bus-master 1, dirty 9994190(14) current 9994190(14) Transmit list 00000000 vs. f7171580. 0: @f7171200 length 800001e6 status 000101e6 1: @f7171240 length 8000008c status 0001008c ....这个提示是 3com 网卡特有的. 感觉如果出现量不大的话也不会影响很严重. 目前看维一的解决办法是更换服务器上的网卡。

实在感觉 3com 的网卡有些问题...服务器报警程序的提示0001 ##WMPCheckV001## 2005-04-13_10:10:01 Found .(ARP Spoofing sniffer)! IP:183 MAC:5 0002 ##WMPCheckV001## 2005-04-07_01:53:32 Found .(MAC_incomplete)! IP:173 mac_incomplete:186 0003 ##WMPCheckV001## 2005- 04-17_16:25:11 Found .(HIGH_synsent)! totl:4271 SynSent:3490 0004 ##WMPCheckV001## 20......这是由报警程序所引起的提示. 详细的信息需要用报警程序的客户端进行实时接收.详细情况请查看“告警模块和日志“基本无关的提示keyboard: unknown scancode e0 5e键盘上接收到未定义的键值. 如果经常出现.有可能是键盘有问题. linux 对于比较特殊的键或是组合键,有时也会出这样的提示要看一下服务器的键盘是不是被压住了. 其它情况一般忽略。

uses obsolete (PF_INET,SOCK_PACKET)系统内核调用了一部分功能模块,在第一次调入时会出现. 一般情况与使用调试工具有关. 可直接忽略网络通信故障Neighbour table overflow.出现这个提示.一般都是因为局域网内有部分计算机被病毒感染. 情况严重时会影响通信. 必须处理内部网通信不正常的计算机服务器系统严重故障CPU0: Temperature above threshold CPU0: Running in modulated clock mode服务器 CPU 工作温度过高. 必须排除硬件故障6 需要技能编辑数据恢复是一个技术含量比较高的行业，数据恢复技术人员需要具备汇编语言和软件应用的技能，还需要电子维修和机械维修以及硬盘技术第一：软件应用和汇编语言基础在数据恢复的案例中,软件级的问题占了三分之二以上的比例，比如文件丢失、分区表丢失或破坏、数据库破坏等，这些就需要具备对 DOS、Windows、Linux 以及 Mac 的操作系统以及数据结构的熟练掌握，需要对一些数据恢复工具和反汇编工具的熟练应用第二：电子电路维修技能在硬盘的故障中，电路的故障占据了大约一成的比例，最多的就是电阻烧毁和芯片烧毁，作为一个技术人员，必须具备电子电路知识已经熟练的焊接技术。

第三：机械维修技能随着硬盘容量的增加，硬盘的结构也越来越复杂，磁头故障和电机故障也变的比较常见，开盘技术已经成为一个数据恢复工程师必须具备的技能第四：硬盘固件级维修技术硬盘固件损坏也是造成数据丢失的一个重要原因，固件维修不当造成数据破坏的风险相对比较高，而固件级维修则需要比较专业的技能和丰富的经验7 恢复技巧编辑1.不必完全扫描如果你仅想找到不小心误删除的文件，无论使用哪种数据恢复软件，也不管它是否具有类似 EasyRecovery 快速扫描的方式，其实都没必要对删除文件的硬盘分区进行完全的簇扫描因为文件被删除时，操作系统仅在目录结构中给该文件标上删除标识，任何数据恢复软件都会在扫描前先读取目录结构信息，并根据其中的删除标志顺利找到刚被删除的文件所以，你完全可在数据恢复软件读完分区的目录结构信息后就手动中断簇扫描的过程，软件一样会把被删除文件的信息正确列出，如此可节省大量的扫描时间，快速找到被误删除的文件数据2.尽可能采取 NTFS 格式分区NTFS 分区的 MFT 以文件形式存储在硬盘上，这也是 EasyRecovery 和 Recover4all 即使使用完全扫描方式对 NTFS 分区扫描也那么快速的原因——实际上它们在读取 NTFS的 MFT 后并没有真正进行簇扫描，只是根据 MFT 信息列出了分区上的文件信息，非常取巧，从而在 NTFS 分区的扫描速度上压倒了老老实实逐个簇扫描的其他软件。