背景說明:今天同事在用ftp更新網(wǎng)站內(nèi)容是,將原來(lái)文件夾重命名以備份,再上傳文件,上傳完成后測(cè)試網(wǎng)站可以訪問就將備份刪除(腦袋抽筋了),結(jié)果發(fā)現(xiàn)備份中最重要的一個(gè)圖片文件夾被刪除,而上傳的只是程序文件,導(dǎo)致所有圖片丟失。
找回辦法如下:
1、嘗試方法一:debugfs
用debugfs工具,可以看到刪除的列表,但沒有找到批量恢復(fù)文件的辦法(丟失的文件有1萬(wàn)多),可能是我方法不對(duì)。對(duì)于單個(gè)文件,debugfs是可以很方便恢復(fù)的。
大多數(shù)Linux發(fā)行版都提供一個(gè)debugfs工具,可以用來(lái)對(duì)Ext3文件系統(tǒng)進(jìn)行編輯操作。不過在使用這個(gè)工具之前,還有一些工作要做。
首先以只讀方式重新掛載被誤刪的文件所在分區(qū)。使用如下命令:(假設(shè)文件在/usr分區(qū))
mount -r -n -o remount /usr
-r表示只讀方式掛載;-n表示不寫入/etc/mtab,如果是恢復(fù)/etc上的文件,就加上這個(gè)參數(shù)。如果系統(tǒng)說xxx partion busy,可以用fuser命令查看一下是哪些進(jìn)程使用這個(gè)分區(qū)上的文件:
fuser -v -m /usr
如果沒有什么重要的進(jìn)程,用以下命令停掉它們:
fuser -k -v -m /usr
然后就可以重新掛載這些文件系統(tǒng)了。 如果是把所有的文件統(tǒng)一安裝在一個(gè)大的/分區(qū)當(dāng)中,可以在boot提示符下用linux single進(jìn)入單用戶模式,盡量減少系統(tǒng)進(jìn)程向硬盤寫入數(shù)據(jù)的機(jī)會(huì),要不干脆把硬盤掛在別的機(jī)器上。另外,恢復(fù)出來(lái)的數(shù)據(jù)不要寫到/上面,避免破壞那些有用的數(shù)據(jù)。如果機(jī)器上有dos/windows,可以寫到這些分區(qū)上面:
mount -r -n /dev/hda1 /mnt/had
然后就可以執(zhí)行debugfs:(假設(shè)Linux在 /dev/hda5)
#debugfs /dev/hda5</p><p> 就會(huì)出現(xiàn)debugfs提示符debugfs:</p><p> 使用lsdel命令可以列出很多被刪除的文件的信息:</p><p> debugfs:lsdel</p><p> debugfs: 2692 deleted inodes found.</p><p> Inode Owner Mode Size Blocks Time deleted</p><p> 164821 0 100600 8192 1/ 1 Sun May 13 19:22:46 2001</p><p> …………………………………………………………………………………</p><p> 36137 0 100644 4 1/ 1 Tue Apr 24 10:11:15 2001</p><p> 196829 0 100644 149500 38/ 38 Mon May 27 13:52:04 2001</p><p> debugfs:
列出的文件有很多(這里找到2692個(gè)),第一字段是文件節(jié)點(diǎn)號(hào),第二字段是文件所有者,第三字段是讀寫權(quán)限,接下來(lái)是文件大小,占用塊數(shù),刪除時(shí)間。然后就可以根據(jù)文件大小和刪除日期判斷那些是我們需要的。比如我們要恢復(fù)節(jié)點(diǎn)是196829的文件: 可以先看看文件數(shù)據(jù)狀態(tài):
debugfs:stat <196829></p><p> Inode: 196829 Type: regular Mode: 0644 Flags: 0×0 Version: 1</p><p> User: 0 Group: 0 Size: 149500</p><p> File ACL: 0 Directory ACL: 0</p><p> Links: 0 Blockcount: 38</p><p> Fragment: Address: 0 Number: 0 Size: 0</p><p> ctime: 0x31a9a574 — Mon May 27 13:52:04 2001</p><p> atime: 0x31a21dd1 — Tue May 21 20:47:29 2001</p><p> mtime: 0x313bf4d7 — Tue Mar 5 08:01:27 2001</p><p> dtime: 0x31a9a574 — Mon May 27 13:52:04 2001</p><p> BLOCKS:</p><p> 594810 594811 594814 594815 594816 594817 ………………………………….</p><p> TOTAL: 38
然后就可以用dump指令恢復(fù)文件:
debugfs:dump <196829> /mnt/hda/01.sav
這樣就把文件恢復(fù)出來(lái)了。退出debugfs:
debugfs:quit
另一種方法是手工編輯inode:
debugfs:mi</p><p> Mode [0100644]</p><p> User ID [0]</p><p> Group ID [0]</p><p> Size [149500]</p><p> Creation time [0x31a9a574]</p><p> Modification time [0x31a9a574]</p><p> Access time [0x31a21dd1]</p><p> Deletion time [0x31a9a574] 0</p><p> Link count [0] 1</p><p> Block count [38]</p><p> File flags [0x0]</p><p> Reserved1 [0]</p><p> File acl [0]</p><p> Directory acl [0]</p><p> Fragment address [0]</p><p> Fragment number [0]</p><p> Fragment size [0]</p><p> Direct Block #0 [594810]</p><p> …………………………….</p><p> Triple Indirect Block [0]
使用mi指令后每次顯示一行信息以供編輯,其它行可以直接按回車表示確認(rèn),把deletion time改成0(未刪除),Link count改成1。改好后退出debugfs:
debugfs:quit
然后用fsck檢查/dev/hda5
fsck /dev/hda5
程序會(huì)說找到丟失的數(shù)據(jù)塊,放在lost+found里面。另外debugfs不適合恢復(fù)大文件。
2、嘗試方法二、foremost
foremost是很不錯(cuò)的軟件,非常簡(jiǎn)單,一個(gè)命令就恢復(fù)了所有圖片,但是文件名卻丟失了,那么多圖片如何恢復(fù)名字,沒有找到好的辦法。同上面debugfs一樣,如果是單個(gè)文件,或者知道文件名字,這個(gè)方法是可以的。但文件量過大,且必須恢復(fù)文件名,此方法則不行。
基本使用辦法如下:
下載并編譯安裝 foremost:
[root@b2bapp1 ~]# wget http://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz
[root@b2bapp1 ~]# tar xf foremost-1.5.7.tar.gz -C /usr/src/
[root@b2bapp1 ~]# cd /usr/src/foremost-1.5.7/
[root@crushlinux foremost-1.5.7]# make && make install
[root@b2bapp1 ~]# foremost -t png -i /dev/mapper/VolGroup-lv_root
Processing: /dev/mapper/VolGroup-lv_root
恢復(fù)完成后會(huì)在你的當(dāng)前所在目錄中建立一個(gè) output 目錄,并在在 output 目錄下會(huì)建立 png 子目錄下會(huì)包括所有已經(jīng)恢復(fù)回來(lái)的 png 格式的文件。
注意:恢復(fù)回來(lái)的文件,文件名已經(jīng)改變,另外 output 目錄下有一個(gè) audit.txt 文件是恢復(fù)成功文件的列表。
3、嘗試方法三、extundelete
在網(wǎng)上終于找到一個(gè)非常優(yōu)秀的恢復(fù)軟件extundelete,通過它,我恢復(fù)了絕大部分軟件(分部被覆蓋導(dǎo)致丟失)。操作方法如下:
安裝軟件:
軟件下載地址:http://extundelete.sourceforge.net/
yum install e2fsprogs-devel libcom_err-devel -y
tar -jxf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4
./configure
make
make install
執(zhí)行恢復(fù)動(dòng)作:
[root@b2bapp1 ~]# extundelete /dev/mapper/VolGroup-lv_root --restore-all
上述命令表示恢復(fù)上述分區(qū)下的所有近期刪除文件,我通過此辦法找回了99%的文件,還有少數(shù)被覆蓋。extundelete 其他主要用法:
單個(gè)文件的恢復(fù):
extundelete /dev/sdaX --restore-file /path/file
目錄恢復(fù):
extundelete /dev/sdaX --restore-directory /path/dir
教訓(xùn)經(jīng)驗(yàn):
文件被刪除后,恢復(fù)建議如下:1、停止所有寫入(可斷網(wǎng)防止外部新的訪問進(jìn)入),最好將磁盤dd克隆一份。我們丟失的文件就是因?yàn)橥录庇诨謴?fù),進(jìn)行一些操作導(dǎo)致部分?jǐn)?shù)據(jù)被覆蓋。
2、如果被刪除的文件被進(jìn)程使用中,則千萬(wàn)別關(guān)閉該進(jìn)程,用losf配合可以找回(因?yàn)檫€在內(nèi)存中),這種恢復(fù)辦法網(wǎng)上很多教程。
3、用合適的工具恢復(fù)。
[root@b2bapp1 ~]# wget http://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz
[root@b2bapp1 ~]# tar xf foremost-1.5.7.tar.gz -C /usr/src/
[root@b2bapp1 ~]# cd /usr/src/foremost-1.5.7/
[root@crushlinux foremost-1.5.7]# make && make install
[root@b2bapp1 ~]# foremost -t png -i /dev/mapper/VolGroup-lv_root
Processing: /dev/mapper/VolGroup-lv_root
