云上 rm -rf / 应急流程

云上 rm -rf / 应急流程

被rm -rf / 支配的恐惧,应该是每个人的噩梦。但云上遇到系统全盘删除的问题,处理会容易很多。本文以腾讯云为例,记录应急流程。

为什么SSD硬盘无法恢复数据?

经测试使用SSD硬盘执行rm -rf / 后是无法恢复数据的,如果是使用SSD硬盘就不要对数据恢复抱有太大的希望了。

SSD(固态硬盘)和传统的 HDD(机械硬盘)在数据存储和删除方式上有一些关键的差异,使得 SSD 数据恢复更加困难,甚至有时候无法进行。

在传统的 HDD 中,当文件被删除时,实际上是文件的指针被删除,而文件数据仍然存在于磁盘上,直到被新的数据覆盖。这使得在文件被删除后的一段时间内,有可能用工具恢复这些数据。而 SSD 使用了 TRIM 技术,当文件被删除时,操作系统会使SSD 马上清除相关数据,这样可以提高 SSD 的性能和寿命。但这也意味着,一旦文件被删除,数据就立即被清除,几乎无法恢复。

第一时间关机快照备份

应急最重要的就是及时止损。面对全盘删除或部分文件删除的情况,立刻关机并在控制台做好快照备份。

在cvm控制台的云硬盘,为当前执行过误删除操作的系统盘创建快照。

在快照列表中查看刚才创建好的快照。

创建备份恢复的云硬盘并挂载

在开始恢复数据之前,需要再创建一块容量大于原系统盘的云硬盘。

然后将数据盘挂载到数据恢复的实例。

注意:一定要在进入救援模式前先做挂载磁盘的操作!

进入救援模式

在控制台找到对应的主机,更多选项中选择进入救援模式。

设置救援模式的密码。

等待几分钟后,刷新控制台能看到主机已进入救援模式。

如果该主机有绑定公网ip,即使主机进入了救援模式,仍然可以通过公网ip访问。没有绑定公网ip则只能使用vnc登录。

因为进入救援模式后,无论主机原本是Windows还是Linux,救援模式挂载的系统镜像都是centos7。并且救援镜像内部是开启了sshd,所以可使用ssh连接救援主机公网ip的22端口。

ssh连接救援模式系统

ssh密码就是上面在进入救援模式时设置的密码。

挂载磁盘

mkdir /raw /recover              #创建挂载目录
mkfs.ext4 /dev/vdb               #格式化磁盘
mount -o rw /dev/vdb /recover    #读写挂载数据恢复盘
mount -o ro /dev/vda1 /raw       #只读挂载原数据盘,防止覆写

挂载完成后,就可以开始数据恢复的操作了。

使用testdisk恢复全盘数据

赞赏

微信赞赏支付宝赞赏

Zgao

愿有一日,安全圈的师傅们都能用上Zgao写的工具。

发表评论