EMC Isilon(OneFS)删除重要数据后恢复案例

【故障描述】
某大学因黑客入侵,导致其“教学系统”的重要数据被删除。其中包括“教学系统”中的MSSQL数据库,以及大量的MP4、ASF和TS类型的视频教学文件。整体存储架构采用EMC高端网络NAS(Isilon S200),节点数量为3个,每个节点配置12块3T STAT硬盘,无SSD。所有数据一共分两部分,一部分数据为vmware虚拟机(WEB服务器),通过NFS协议共享到ESX主机,另一部分数据为视频教学文件,通过CIFS协议共享给虚拟机(WEB服务器)。黑客只删除了NFS共享的所有数据(也就是所有虚拟机),而CIFS共享的数据则没有被删除。

·
【数据备份】
因考虑到数据安全性,避免对数据造成二次破坏,需对所有硬盘进行全部备份。但是由于磁盘数量太多(单节点12块盘,3个节点36块盘),且单盘容量太大(单盘3TB,一共108TB),因此备份周期会较长。最终客户决定,只对存储中现有数据进行备份,并且由我们备份一次,客户再备份一次,以确保现有数据安全。

·
【数据分析】
备份完所有数据后,在Isilon的web管理界面中将Isilon正常关机。再将所有节点上的所有硬盘贴上标签,并依次取出再放到数据恢复平台中,开始分析所有硬盘中的数据。

·
至此先简单介绍一下Isilon的存储结构,Isilon内部使用的是分布式文件系统OneFS。在Isilon存储集群中,每个节点都是一个单一的OneFS文件系统,因此Isilon支持横向扩展,并且不会影响正在使用的数据。在存储集群工作时,所有节点提供相同的功能,节点与节点之前没有主备之分。当用户往存储集群中存储文件时,OneFS层会将文件分成128K的片段分别存到不同的节点中,而在节点层又会将128K的片段分成8K的小片段分别存到该节点的不同硬盘中。而用户文件的Indoe信息、目录项及数据MAP则会分别存储在所有节点中,这样可以确保用户不管从那个节点都可以访问到所有数据。Isilon在初始化时会让用户选择相应的存储冗余模式,不同的冗余模式所提供的数据安全级别也不一样(默认3个节点采用N+2:1模式)。

·
由于客户数据是被删除了,因此不用过多考虑存储的冗余级别,重点需要分析文件删除后,文件Indoe及数据MAP是否发生变化。和客户沟通后,删除的虚拟磁盘文件都在64G或以上,并且存储中没有其他类型的大文件。编写扫描所有文件Indoe的程序,将文件大小符合64G或以上的Indoe都扫描出来。再仔细分析扫描出来的Indoe,发现Indoe中记录的数据MAP位置,其index指向的内容已不再是正常数据,并且所有节点上的Indoe均是同样的情况。再仔细分析Inode,发现大文件的数据MAP会有多层(树结构),并且数据MAP中会记录文件的唯一ID,因此可以尝试找到文件最底层的数据MAP。抱着侥幸心理对文件最底层的数据MAP做遍历跟踪操作,发现最低层的数据MAP果然还在。
·
【数据恢复】
编写程序,从文件的Inode中取出文件的唯一ID,然后对所有符合该ID的数据MAP做聚合。并根据数据MAP中的VCN号做排序,发现每个文件的前17088项数据MAP都不存在,也就意味着每个文件的前17088项数据是真的没办法恢复了(心情一下跌落低谷)。
仔细换算了一下发现丢失的数据MAP项总共才包含不到1G的数据,而删除的文件全是虚拟机的vmdk文件,里面都是NTFS的文件系统,而NTFS文件系统的MFT基本都在3G的位置,也就是只需要在每个vmdk文件的头部手动伪造一个MBR和DBR就可以解释vmdk里面的数据了(真不知到是巧合呢!还是巧合呢!)。赶紧编写代码,对扫描到的数据MAP做解释,并根据VCN号的顺序导出数据,没有MAP的情况保留为零。
经过不断的测试,程序终于编好了,先导出一个vmdk文件来看看。结果令我大吃一惊,导出的vmdk文件比实际情况要小,并且vmdk中MFT的位置也与自身描述不符。是程序的问题?还是数据MAP本身已损坏?手动随机验证了几个MPA发现都能指向数据区,而程序解释MAP的方式也都没有问题。就在我百思不得其解的时候,我突然想到Isilon这么高端的存储不可能没有文件稀疏吧!否则空间得浪费多少啊!立马根据数据MAP验证了一下,发现文件果然是稀疏的。
修改代码,重新导出刚才的vmdk,这次vmdk大小符合实际大小,且MFT的位置也在相应位置。手工伪造一个MBR,分区表以及DBR,再用北亚开发的文件系统解释工具成功解释其文件系统,导出vmdk里面的数据库及视频文件。
在验证了此vmdk中的数据库及视频文件没问题后,批量导出所有重要的vmdk文件,再手工一个一个的去修改每个vmdk文件。

·
【数据验收】
将客户所有重要的数据恢复完成后,由客户方安排工程师对恢复的所有数据做完整性及准确性检测,经过长达1天的验证工作。数据最终确定完全没有问题,数据恢复成功。
整个恢复过程虽然很曲折,但是结果很满意。

原文地址:http://blog.51cto.com/sun510/2066836

时间: 2024-10-09 23:54:02

EMC Isilon(OneFS)删除重要数据后恢复案例的相关文章

id 自增------删除数据后恢复到删除前自增id

删除数据后,执行下面语句: ALTER TBALE TableName AUTO_INCREMENT=1 mysql删除比较 一.DROP drop  table tablename 绝招:删除内容和定义,释放空间.简单来说就是把整个表去掉.以后要新增数据是不可能的,除非新增一个表 二.TRUNCATE truncate table tablename 绝招:删除内容.释放空间但不删除定义(表定义和结构).与drop不同的是,他只是清空表数据而已.执行语句之后,发现数据表的结构还在,也就是不删除

EMC Isilon(OneFS)数据恢复案例详解

[故障描述]????某大学因******,导致其"教学系统"的重要数据被删除.其中包括"教学系统"中的MSSQL数据库,以及大量的MP4.ASF和TS类型的视频教学文件.整体存储架构采用EMC高端网络NAS(Isilon S200),节点数量为3个,每个节点配置12块3T STAT硬盘,无SSD.所有数据一共分两部分,一部分数据为vmware虚拟机(WEB服务器),通过NFS协议共享到ESX主机,另一部分数据为视频教学文件,通过CIFS协议共享给虚拟机(WEB服务器

mysql 清空或删除表数据后,控制表自增列值的方法

http://blog.sina.com.cn/s/blog_68431a3b0100y04v.html 方法1: truncate table 你的表名 //这样不但将数据全部删除,而且重新定位自增的字段 方法2: delete from 你的表名 dbcc checkident(你的表名,reseed,0) //重新定位自增的字段,让它从1开始 方法3: 如果你要保存你的数据,介绍你第三种方法,by QINYI 用phpmyadmin导出数据库,你在里面会有发现哦 编辑sql文件,将其中的自

Windows xp 下删除ubuntu分区后恢复

1. 发生情形 在windows下的计算机管理中删除了一个ubuntu10.04所在分区,结果所有Linux分区变成一片绿色,变成了可用空间.对分区表进行操作尽量不要用磁盘管理,disk Genius(diskman)非常好用,对分区表进行操作可以预览效果,退出时不保存分区信息就不会更新磁盘分区表.当然你也可以用它的备份分区表的功能. 2. 处理思路 之前安装ubuntu时为了腾出空间也曾经发生删除最后一个磁盘别的分区也跟着消失的问题.原因可能是分区链已经错乱.不过现在要处理的问题是如何找回Li

mysql数据库,删除root用户后恢复

删除mysql的user表中的root用户后,我们可以用以下命令来实现恢复: 启动mysql数据库的安全模式,有2种方法 1.修改配置文件/etc/my.cf,添加 --skip-grant-tables 2.使用命令进入安全模式, 首先,要先关闭mysql服务  service mysqld stop 进入安全模式    mysqld_safe --skip-grant-tables 3.添加use表内容,如下: mysql> insert into user set ser='root',s

包含LOB_Data列的表删除大量数据后表及数据库文件的收缩

最近有一张表(内含varchar(max)字段),占用空间达到240G,删除历史数据后几十万条后,空间并未得到释放. 然后用DBCC CLEANTABLE(0,tb_name,100)来释放删除记录后变长字段留下的空间,注意第三个参数为每个事务处理的行数, 强烈建议使用,默认是0,将整个操作作为一个事务处理!全程锁表!! 执行完DBCC CLEANTABLE后,发现表空间已经释放,占用空间几百兆,但此时还没完,我们数据库文件依然很大. 于是我们尝试用DBCC SHRINKFILE来收缩库文件,结

删除LOB数据后, LOB空间不能重用的问题.

As records are deleted, the LOB data segments are marked as psuedo-deleted and they can only be reused when the 'readLSN' of the table progresses past the LSN of when the deletes were performed(you can think of this as allowing read-stability isolati

mysql优化, 删除数据后物理空间未释放(转载)

OPTIMIZE TABLE 当您的库中删除了大量的数据后,您可能会发现数据文件尺寸并没有减小.这是因为删除操作后在数据文件中留下碎片所致.OPTIMIZE TABLE 是指对表进行优化.如果已经删除了表的一大部分数据,或者如果已经对含有可变长度行的表(含有 VARCHAR . BLOB 或 TEXT 列的表)进行了很多更改,就应该使用 OPTIMIZE TABLE 命令来进行表优化.这个命令可以将表中的空间碎片进行合并,并且可以消除由于删除或者更新造成的空间浪费 .OPTIMIZE TABLE

关于mysql 删除数据后物理空间未释放

OPTIMIZE TABLE 当您的库中删除了大量的数据后,您可能会发现数据文件尺寸并没有减小.这是因为删除操作后在数据文件中留下碎片所致.OPTIMIZE TABLE 是指对表进行优化.如果已经删除了表的一大部分数据,或者如果已经对含有可变长度行的表(含有 VARCHAR . BLOB 或 TEXT 列的表)进行了很多更改,就应该使用 OPTIMIZE TABLE 命令来进行表优化.这个命令可以将表中的空间碎片进行合并,并且可以消除由于删除或者更新造成的空间浪费 .OPTIMIZE TABLE