高新区医院DELL PowerEdge R310机架式服务器,(磁盘阵列3块硬盘,)24日检查只显示1块,ST1000;用Pe可进去访问,(但是其它2块硬盘丢失,)分区恢复无效,无法恢复;数据扫描分析没有好结果;考虑是服务器,可能不知一块硬盘,因此建议询问服务商相关配置及情况;如果是1块硬盘明显不合理,数据块不连续,数据肯定无法恢复;应该是2-4块硬盘,一般为3块;25日拆开电脑,果然是3块硬盘;晚上数据恢复;3块硬盘头信息均破坏,即主引导记录没有,各硬盘显示为LinuxSwap分区;前部数据错乱,数据块关联性用各种扫描分析软件无论自动还是手动,判断均为8K,盘序也不对,组合后扫描的数据不正确;用软件组合后出错退出;考虑到硬盘可能先后掉线,因此取两块硬盘组合分析,结果组合成功;两两组合均能成功扫描分析分区,恢复的数据都能打开,但是3块无论如何也不行,可见确实存在不一致性。考虑到客户主要需要数据库,因此0-1组合全部恢复,其它组合只恢复数据库,以最大可能的还原破坏前的最新数据库状况。
值得注意的是,该服务器是受到来自互联网的攻击者的攻击而瘫痪的;攻击者构造了管理员账户,上传了一些攻击软件、扫描分析工具,木马病毒等等;客户的应用程序几乎都感染了病毒;客户没有设置好防火墙,没有定期维护,开启了远程桌面等等一些不安全的措施。恢复的情况及工具情况如下图及图中文字: