背景說明:今天同事在用ftp更新網(wǎng)站內(nèi)容是���,將原來文件夾重命名以備份����,再上傳文件,上傳完成后測試網(wǎng)站可以訪問就將備份刪除(腦袋抽筋了)����,結(jié)果發(fā)現(xiàn)備份中最重要的一個圖片文件夾被刪除���,而上傳的只是程序文件,導(dǎo)致所有圖片丟失��。
找回辦法如下:
1��、嘗試方法一:debugfs
用debugfs工具����,可以看到刪除的列表,但沒有找到批量恢復(fù)文件的辦法(丟失的文件有1萬多)�����,可能是我方法不對�����。對于單個文件���,debugfs是可以很方便恢復(fù)的����。
大多數(shù)Linux發(fā)行版都提供一個debugfs工具,可以用來對Ext3文件系統(tǒng)進行編輯操作����。不過在使用這個工具之前,還有一些工作要做���。
首先以只讀方式重新掛載被誤刪的文件所在分區(qū)�����。使用如下命令:(假設(shè)文件在/usr分區(qū))
mount -r -n -o remount /usr
-r表示只讀方式掛載����;-n表示不寫入/etc/mtab�����,如果是恢復(fù)/etc上的文件�����,就加上這個參數(shù)���。如果系統(tǒng)說xxx partion busy��,可以用fuser命令查看一下是哪些進程使用這個分區(qū)上的文件:
fuser -v -m /usr
如果沒有什么重要的進程����,用以下命令停掉它們:
fuser -k -v -m /usr
然后就可以重新掛載這些文件系統(tǒng)了����。
如果是把所有的文件統(tǒng)一安裝在一個大的/分區(qū)當(dāng)中,可以在boot提示符下用linux single進入單用戶模式���,盡量減少系統(tǒng)進程向硬盤寫入數(shù)據(jù)的機會����,要不干脆把硬盤掛在別的機器上���。另外���,恢復(fù)出來的數(shù)據(jù)不要寫到/上面,避免破壞那些有用的數(shù)據(jù)�����。如果機器上有dos/windows,可以寫到這些分區(qū)上面:
mount -r -n /dev/hda1 /mnt/had
然后就可以執(zhí)行debugfs:(假設(shè)Linux在 /dev/hda5)
#debugfs /dev/hda5/p>
p> 就會出現(xiàn)debugfs提示符debugfs:/p>
p> 使用lsdel命令可以列出很多被刪除的文件的信息:/p>
p> debugfs:lsdel/p>
p> debugfs: 2692 deleted inodes found./p>
p> Inode Owner Mode Size Blocks Time deleted/p>
p> 164821 0 100600 8192 1/ 1 Sun May 13 19:22:46 2001/p>
p> …………………………………………………………………………………/p>
p> 36137 0 100644 4 1/ 1 Tue Apr 24 10:11:15 2001/p>
p> 196829 0 100644 149500 38/ 38 Mon May 27 13:52:04 2001/p>
p> debugfs:
列出的文件有很多(這里找到2692個)��,第一字段是文件節(jié)點號�,第二字段是文件所有者,第三字段是讀寫權(quán)限����,接下來是文件大小,占用塊數(shù)��,刪除時間��。然后就可以根據(jù)文件大小和刪除日期判斷那些是我們需要的�。比如我們要恢復(fù)節(jié)點是196829的文件:
可以先看看文件數(shù)據(jù)狀態(tài):
debugfs:stat 196829>/p>
p> Inode: 196829 Type: regular Mode: 0644 Flags: 0×0 Version: 1/p>
p> User: 0 Group: 0 Size: 149500/p>
p> File ACL: 0 Directory ACL: 0/p>
p> Links: 0 Blockcount: 38/p>
p> Fragment: Address: 0 Number: 0 Size: 0/p>
p> ctime: 0x31a9a574 — Mon May 27 13:52:04 2001/p>
p> atime: 0x31a21dd1 — Tue May 21 20:47:29 2001/p>
p> mtime: 0x313bf4d7 — Tue Mar 5 08:01:27 2001/p>
p> dtime: 0x31a9a574 — Mon May 27 13:52:04 2001/p>
p> BLOCKS:/p>
p> 594810 594811 594814 594815 594816 594817 …………………………………./p>
p> TOTAL: 38
然后就可以用dump指令恢復(fù)文件:
debugfs:dump 196829> /mnt/hda/01.sav
這樣就把文件恢復(fù)出來了。退出debugfs:
debugfs:quit
另一種方法是手工編輯inode:
debugfs:mi/p>
p> Mode [0100644]/p>
p> User ID [0]/p>
p> Group ID [0]/p>
p> Size [149500]/p>
p> Creation time [0x31a9a574]/p>
p> Modification time [0x31a9a574]/p>
p> Access time [0x31a21dd1]/p>
p> Deletion time [0x31a9a574] 0/p>
p> Link count [0] 1/p>
p> Block count [38]/p>
p> File flags [0x0]/p>
p> Reserved1 [0]/p>
p> File acl [0]/p>
p> Directory acl [0]/p>
p> Fragment address [0]/p>
p> Fragment number [0]/p>
p> Fragment size [0]/p>
p> Direct Block #0 [594810]/p>
p> ……………………………./p>
p> Triple Indirect Block [0]
使用mi指令后每次顯示一行信息以供編輯�����,其它行可以直接按回車表示確認����,把deletion time改成0(未刪除),Link count改成1�����。改好后退出debugfs:
debugfs:quit
然后用fsck檢查/dev/hda5
fsck /dev/hda5
程序會說找到丟失的數(shù)據(jù)塊,放在lost+found里面����。
另外debugfs不適合恢復(fù)大文件���。
2����、嘗試方法二����、foremost
foremost是很不錯的軟件,非常簡單�����,一個命令就恢復(fù)了所有圖片��,但是文件名卻丟失了��,那么多圖片如何恢復(fù)名字��,沒有找到好的辦法�����。同上面debugfs一樣,如果是單個文件�����,或者知道文件名字����,這個方法是可以的。但文件量過大��,且必須恢復(fù)文件名���,此方法則不行�����。
基本使用辦法如下:
下載并編譯安裝 foremost:
[root@b2bapp1 ~]# wget http://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz
[root@b2bapp1 ~]# tar xf foremost-1.5.7.tar.gz -C /usr/src/
[root@b2bapp1 ~]# cd /usr/src/foremost-1.5.7/
[root@crushlinux foremost-1.5.7]# make make install
[root@b2bapp1 ~]# foremost -t png -i /dev/mapper/VolGroup-lv_root
Processing: /dev/mapper/VolGroup-lv_root
恢復(fù)完成后會在你的當(dāng)前所在目錄中建立一個 output 目錄���,并在在 output 目錄下會建立 png 子目錄下會包括所有已經(jīng)恢復(fù)回來的 png 格式的文件。
注意:恢復(fù)回來的文件�,文件名已經(jīng)改變,另外 output 目錄下有一個 audit.txt 文件是恢復(fù)成功文件的列表�。
3��、嘗試方法三、extundelete
在網(wǎng)上終于找到一個非常優(yōu)秀的恢復(fù)軟件extundelete����,通過它��,我恢復(fù)了絕大部分軟件(分部被覆蓋導(dǎo)致丟失)。操作方法如下:
安裝軟件:
軟件下載地址:http://extundelete.sourceforge.net/
yum install e2fsprogs-devel libcom_err-devel -y
tar -jxf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4
./configure
make
make install
執(zhí)行恢復(fù)動作:
[root@b2bapp1 ~]# extundelete /dev/mapper/VolGroup-lv_root --restore-all
上述命令表示恢復(fù)上述分區(qū)下的所有近期刪除文件����,我通過此辦法找回了99%的文件��,還有少數(shù)被覆蓋。
extundelete 其他主要用法:
單個文件的恢復(fù):
extundelete /dev/sdaX --restore-file /path/file
目錄恢復(fù):
extundelete /dev/sdaX --restore-directory /path/dir
教訓(xùn)經(jīng)驗:
文件被刪除后���,恢復(fù)建議如下:
1、停止所有寫入(可斷網(wǎng)防止外部新的訪問進入)���,最好將磁盤dd克隆一份��。我們丟失的文件就是因為同事急于恢復(fù),進行一些操作導(dǎo)致部分數(shù)據(jù)被覆蓋���。
2、如果被刪除的文件被進程使用中�,則千萬別關(guān)閉該進程�,用losf配合可以找回(因為還在內(nèi)存中)����,這種恢復(fù)辦法網(wǎng)上很多教程�����。
3����、用合適的工具恢復(fù)����。
[root@b2bapp1 ~]# wget http://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz
[root@b2bapp1 ~]# tar xf foremost-1.5.7.tar.gz -C /usr/src/
[root@b2bapp1 ~]# cd /usr/src/foremost-1.5.7/
[root@crushlinux foremost-1.5.7]# make make install
[root@b2bapp1 ~]# foremost -t png -i /dev/mapper/VolGroup-lv_root
Processing: /dev/mapper/VolGroup-lv_root
