铁雪资源网 Design By www.gsvan.com

背景说明:今天同事在用ftp更新网站内容是,将原来文件夹重命名以备份,再上传文件,上传完成后测试网站可以访问就将备份删除(脑袋抽筋了),结果发现备份中最重要的一个图片文件夹被删除,而上传的只是程序文件,导致所有图片丢失。

找回办法如下:

1、尝试方法一:debugfs
用debugfs工具,可以看到删除的列表,但没有找到批量恢复文件的办法(丢失的文件有1万多),可能是我方法不对。对于单个文件,debugfs是可以很方便恢复的。

大多数Linux发行版都提供一个debugfs工具,可以用来对Ext3文件系统进行编辑操作。不过在使用这个工具之前,还有一些工作要做。

  首先以只读方式重新挂载被误删的文件所在分区。使用如下命令:(假设文件在/usr分区)

  

复制代码代码如下:
mount -r -n -o remount /usr

  -r表示只读方式挂载;-n表示不写入/etc/mtab,如果是恢复/etc上的文件,就加上这个参数。如果系统说xxx partion busy,可以用fuser命令查看一下是哪些进程使用这个分区上的文件:
 

复制代码代码如下:
fuser -v -m /usr

  如果没有什么重要的进程,用以下命令停掉它们:
  

复制代码代码如下:
fuser -k -v -m /usr

  然后就可以重新挂载这些文件系统了。

  如果是把所有的文件统一安装在一个大的/分区当中,可以在boot提示符下用linux single进入单用户模式,尽量减少系统进程向硬盘写入数据的机会,要不干脆把硬盘挂在别的机器上。另外,恢复出来的数据不要写到/上面,避免破坏那些有用的数据。如果机器上有dos/windows,可以写到这些分区上面:
 

复制代码代码如下:
mount -r -n /dev/hda1 /mnt/had

  然后就可以执行debugfs:(假设Linux在 /dev/hda5)
 
复制代码代码如下:
#debugfs /dev/hda5</p> <p>  就会出现debugfs提示符debugfs:</p> <p>  使用lsdel命令可以列出很多被删除的文件的信息:</p> <p>  debugfs:lsdel</p> <p>  debugfs: 2692 deleted inodes found.</p> <p>  Inode Owner Mode Size Blocks Time deleted</p> <p>  164821 0 100600 8192 1/ 1 Sun May 13 19:22:46 2001</p> <p>  …………………………………………………………………………………</p> <p>  36137 0 100644 4 1/ 1 Tue Apr 24 10:11:15 2001</p> <p>  196829 0 100644 149500 38/ 38 Mon May 27 13:52:04 2001</p> <p>  debugfs:

  列出的文件有很多(这里找到2692个),第一字段是文件节点号,第二字段是文件所有者,第三字段是读写权限,接下来是文件大小,占用块数,删除时间。然后就可以根据文件大小和删除日期判断那些是我们需要的。比如我们要恢复节点是196829的文件:

  可以先看看文件数据状态:

  

复制代码代码如下:
debugfs:stat <196829></p> <p>  Inode: 196829 Type: regular Mode: 0644 Flags: 0×0 Version: 1</p> <p>  User: 0 Group: 0 Size: 149500</p> <p>  File ACL: 0 Directory ACL: 0</p> <p>  Links: 0 Blockcount: 38</p> <p>  Fragment: Address: 0 Number: 0 Size: 0</p> <p>  ctime: 0x31a9a574 — Mon May 27 13:52:04 2001</p> <p>  atime: 0x31a21dd1 — Tue May 21 20:47:29 2001</p> <p>  mtime: 0x313bf4d7 — Tue Mar 5 08:01:27 2001</p> <p>  dtime: 0x31a9a574 — Mon May 27 13:52:04 2001</p> <p>  BLOCKS:</p> <p>  594810 594811 594814 594815 594816 594817 ………………………………….</p> <p>  TOTAL: 38

  然后就可以用dump指令恢复文件:
 

复制代码代码如下:
debugfs:dump <196829> /mnt/hda/01.sav

  这样就把文件恢复出来了。退出debugfs:
  

复制代码代码如下:
debugfs:quit

  另一种方法是手工编辑inode:
  

复制代码代码如下:
debugfs:mi</p> <p>  Mode [0100644]</p> <p>  User ID [0]</p> <p>  Group ID [0]</p> <p>  Size [149500]</p> <p>  Creation time [0x31a9a574]</p> <p>  Modification time [0x31a9a574]</p> <p>  Access time [0x31a21dd1]</p> <p>  Deletion time [0x31a9a574] 0</p> <p>  Link count [0] 1</p> <p>  Block count [38]</p> <p>  File flags [0x0]</p> <p>  Reserved1 [0]</p> <p>  File acl [0]</p> <p>  Directory acl [0]</p> <p>  Fragment address [0]</p> <p>  Fragment number [0]</p> <p>  Fragment size [0]</p> <p>  Direct Block #0 [594810]</p> <p>  …………………………….</p> <p>  Triple Indirect Block [0]

  使用mi指令后每次显示一行信息以供编辑,其它行可以直接按回车表示确认,把deletion time改成0(未删除),Link count改成1。改好后退出debugfs:
  

复制代码代码如下:
debugfs:quit

  然后用fsck检查/dev/hda5

复制代码代码如下:
fsck /dev/hda5

程序会说找到丢失的数据块,放在lost+found里面。

另外debugfs不适合恢复大文件。

2、尝试方法二、foremost
foremost是很不错的软件,非常简单,一个命令就恢复了所有图片,但是文件名却丢失了,那么多图片如何恢复名字,没有找到好的办法。同上面debugfs一样,如果是单个文件,或者知道文件名字,这个方法是可以的。但文件量过大,且必须恢复文件名,此方法则不行。

基本使用办法如下:

下载并编译安装 foremost:

复制代码代码如下:
[root@b2bapp1 ~]# wget http://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz
[root@b2bapp1 ~]# tar xf foremost-1.5.7.tar.gz -C /usr/src/
[root@b2bapp1 ~]# cd /usr/src/foremost-1.5.7/
[root@crushlinux foremost-1.5.7]# make && make install
[root@b2bapp1 ~]# foremost -t png -i /dev/mapper/VolGroup-lv_root
Processing: /dev/mapper/VolGroup-lv_root

恢复完成后会在你的当前所在目录中建立一个 output 目录,并在在 output 目录下会建立 png 子目录下会包括所有已经恢复回来的 png 格式的文件。
注意:恢复回来的文件,文件名已经改变,另外 output 目录下有一个 audit.txt 文件是恢复成功文件的列表。

3、尝试方法三、extundelete
在网上终于找到一个非常优秀的恢复软件extundelete,通过它,我恢复了绝大部分软件(分部被覆盖导致丢失)。操作方法如下:

安装软件:
软件下载地址:http://extundelete.sourceforge.net/

复制代码代码如下:
yum install e2fsprogs-devel libcom_err-devel -y
tar -jxf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4
./configure
make
make install

执行恢复动作:

复制代码代码如下:
[root@b2bapp1 ~]# extundelete /dev/mapper/VolGroup-lv_root --restore-all

上述命令表示恢复上述分区下的所有近期删除文件,我通过此办法找回了99%的文件,还有少数被覆盖。

extundelete 其他主要用法:
单个文件的恢复:

复制代码代码如下:
extundelete /dev/sdaX --restore-file /path/file

目录恢复:

复制代码代码如下:
extundelete /dev/sdaX --restore-directory /path/dir

教训经验:
文件被删除后,恢复建议如下:

1、停止所有写入(可断网防止外部新的访问进入),最好将磁盘dd克隆一份。我们丢失的文件就是因为同事急于恢复,进行一些操作导致部分数据被覆盖。

2、如果被删除的文件被进程使用中,则千万别关闭该进程,用losf配合可以找回(因为还在内存中),这种恢复办法网上很多教程。

3、用合适的工具恢复。


复制代码代码如下:
[root@b2bapp1 ~]# wget http://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz
[root@b2bapp1 ~]# tar xf foremost-1.5.7.tar.gz -C /usr/src/
[root@b2bapp1 ~]# cd /usr/src/foremost-1.5.7/
[root@crushlinux foremost-1.5.7]# make && make install
[root@b2bapp1 ~]# foremost -t png -i /dev/mapper/VolGroup-lv_root
Processing: /dev/mapper/VolGroup-lv_root

标签:
CentOS,恢复,删除

铁雪资源网 Design By www.gsvan.com
广告合作:本站广告合作请联系QQ:858582 申请时备注:广告合作(否则不回)
免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件! 如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com
铁雪资源网 Design By www.gsvan.com

评论“CentOS系统下尝试恢复被删除的文件的方法集锦”

暂无CentOS系统下尝试恢复被删除的文件的方法集锦的评论...

稳了!魔兽国服回归的3条重磅消息!官宣时间再确认!

昨天有一位朋友在大神群里分享,自己亚服账号被封号之后居然弹出了国服的封号信息对话框。

这里面让他访问的是一个国服的战网网址,com.cn和后面的zh都非常明白地表明这就是国服战网。

而他在复制这个网址并且进行登录之后,确实是网易的网址,也就是我们熟悉的停服之后国服发布的暴雪游戏产品运营到期开放退款的说明。这是一件比较奇怪的事情,因为以前都没有出现这样的情况,现在突然提示跳转到国服战网的网址,是不是说明了简体中文客户端已经开始进行更新了呢?