linux数据恢复 Linux数据恢复之黑客攻击删除数据恢复过程

北京某游戏公司，一台老式IBM服务器，服务器是CentOS6.4操作系统，服务器使用两个SCSI 73GB硬盘，都是LVM管理的。

有一天，服务器被黑客攻陷，黑客删除了大量用户数据和系统数据。

最重要的服务器是公司内部的一个后台管理应用，使用的是MySql5.5数据库。

MySql数据库每天都会生成一个备份，备份在/usr/bak目录下。黑客还会删除数据库和数据库的备份。

数据很重要。如果数据无法恢复，会给公司的运营带来很大的困难。管理员使用不同的方法和不同的数据恢复软件后，仍然无法恢复数据。

之后客户找到了北京安苏云和公司，北京安苏云和公司的尹红听客户描述后确定数据可恢复性很高。北京安苏云公司的尹工要求客户在关机状态下拔出硬盘，根据插槽位置做好标记，将硬盘带到北京安苏云公司进行数据恢复。

连接硬盘做底层分析，镜像硬盘恢复到北京安苏云和公司的暂存。后面的操作都只在临时存储上进行，不再操作原来的硬盘。

客户说只需要恢复最新的MySql备份文件。

存储数据的文件系统是EXT4。Linux的EXT2/3/4文件系统将在删除文件目录后，用0填充所有已删除文件和目录的Inode中的描述文件大小和文件数据分配指针区域。

但是，删除文件目录后，Windows只在MFT上做了一个标记，表示文件大小和文件分配区域没有变化(文件大小大于4GB的文件除外)。

这也是为什么Windows在删除文件目录后很容易恢复，而Linux在删除文件后很难恢复数据的原因。

用底层磁盘分析软件WinHex找到/usr/bak目录，删除目录，清除目录索引节点中的大小指针和目录块，WinHex软件无法解析，无法进入目录:

北京安舒云的殷工通过EXT4文件系统中的剩余信息，拼出了/usr/bak目录的inode中的清除数据。winhex软件可以进入目录并查看文件列表:

目录中所有文件的大小都是0字节，这些文件的索引节点中指示文件大小和数据块分配的指针被清除为0。

同样，要恢复的文件的索引节点数据是通过EXT4文件系统中的剩余信息拼写出来的。要恢复的文件大小和数据分布指针正常，数据直接由Winhex导出:

数据库备份很小，gz压缩后只有16.8MB，压缩前110MB左右。恢复数据，检测gz压缩包，数据正常:

然后客户将恢复的数据发回公司，公司工程师正常恢复备份，所有数据检查正常。