联系:手机/微信(+86 17813235971) QQ(107644445)
作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]
有客户exsi系统被勒索病毒加密,拷贝出来磁盘文件,通过工具分析,磁盘文件均有部分被破坏,恢复工具无法自动识别
联系:手机/微信(+86 17813235971) QQ(107644445)
作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]
国庆节期间接到朋友咨询,原先在vg中的磁盘被重新pvcreate了,想恢复原磁盘中的mysql数据库
[root@0002 ~]# lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT sr0 11:0 1 1024M 0 rom vda 253:0 0 200G 0 disk ├─vda1 253:1 0 600M 0 part /boot/efi ├─vda2 253:2 0 1G 0 part /boot └─vda3 253:3 0 38.4G 0 part ├─klas-root 252:0 0 34.4G 0 lvm / └─klas-swap 252:1 0 4G 0 lvm [SWAP] vdb 253:16 0 1000G 0 disk └─vdb1 253:17 0 500G 0 part └─mysql-mysql--mycg 252:2 0 500G 0 lvm /mysql
这里可以看到出来vdb磁盘一共1000G,分区vdb1 为500G,然后这500G加入到vg中并分配了lv.
vdb磁盘现状
[root@0002 mysql]# lsblk /dev/vdb NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT vdb 253:16 0 1000G 0 disk └─vdb1 253:17 0 1000G 0 part Disk /dev/vdb: 1000 GiB, 1073741824000 bytes, 2097152000 sectors Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disklabel type: dos Disk identifier: 0x5a6aaeee Device Boot Start End Sectors Size Id Type /dev/vdb1 2048 2097151999 2097149952 1000G 8e Linux LVM
这里基本上可以确定,vdb1磁盘分区从以前的500G变成了1000G(也就是说被重新分区了,后续和现场沟通确认进行了重新分区操作)
898 [2025-09-28 11:55:13][root]fdisk -l 899 [2025-09-28 11:55:21][root]df -h 900 [2025-09-28 11:56:41][root]lsblk 901 [2025-09-28 11:59:44][root]fdisk /dev/vdb 902 [2025-09-28 12:00:46][root]partprobe /dev/vdb 903 [2025-09-28 12:00:50][root]pvresize /dev/vdb1 904 [2025-09-28 12:00:56][root]df -h 905 [2025-09-28 12:01:25][root]vgdisplay mysql 906 [2025-09-28 12:01:40][root]lsblk 907 [2025-09-28 12:02:05][root]sudo partprobe /dev/vdb 908 [2025-09-28 12:02:10][root]pvresize /dev/vdb1 909 [2025-09-28 12:02:27][root]sudo pvresize /dev/vdb1 910 [2025-09-28 12:03:07][root]sudo pvcreate /dev/vdb1 911 [2025-09-28 12:03:22][root]sudo pvscan 912 [2025-09-28 12:03:30][root]sudo pvdisplay 913 [2025-09-28 12:05:37][root]parted /dev/vdb 914 [2025-09-28 12:06:11][root]pvresize /dev/vdb1 915 [2025-09-28 12:06:15][root]lsblk 916 [2025-09-28 12:09:48][root]lvextend -l +100%FREE /dev/mysql/mysql--mycg 917 [2025-09-28 12:10:00][root]cd /dev/mysql/ 918 [2025-09-28 12:10:01][root]ll 919 [2025-09-28 12:10:20][root]pwd 920 [2025-09-28 12:10:32][root]lvextend -l +100%FREE /dev/mysql/mysql-mycg 921 [2025-09-28 12:10:55][root]lsblk /dev/vdb
基本上可以确定9月28日先进行了fdisk分区操作,然后尝试pvresize 操作[应该不会成功,因为重新分区导致pv信息丢失],然后进行了pvcreate之后再次进行parted分区操作,再pvresize,lvextend操作[同理pv信息丢失应该不会成功],然后10月5日继续进行的部分操作
956 [2025-10-05 08:29:27][root]umount /mysql 957 [2025-10-05 08:29:38][root]lsof /mysql 958 [2025-10-05 08:29:58][root]service mysqld stop 959 [2025-10-05 08:30:02][root]umount /mysql 960 [2025-10-05 08:30:05][root]lsof /mysql 961 [2025-10-05 08:30:23][root]cd / 962 [2025-10-05 08:30:25][root]umount /mysql 963 [2025-10-05 08:30:34][root]pvcreate --force /dev/vdb1 964 [2025-10-05 08:30:47][root]vgextend mysql /dev/vdb1 965 [2025-10-05 08:31:02][root]df -h 966 [2025-10-05 08:31:33][root]pvdisplay /dev/vdb1 967 [2025-10-05 08:31:41][root]pvcreate --force /dev/vdb1 968 [2025-10-05 08:32:11][root]lvs | grep mysql-mysql--mycg 969 [2025-10-05 08:32:19][root]dmsetup ls | grep mysql 970 [2025-10-05 08:32:38][root]fuser /dev/vdb1 971 [2025-10-05 08:32:41][root]lsof /dev/vdb1 972 [2025-10-05 08:32:50][root]pvcreate --force /dev/vdb1 973 [2025-10-05 08:33:14][root]reboot 974 [2025-10-05 08:36:23][root]pvcreate --force /dev/vdb1 975 [2025-10-05 08:36:47][root]lvdisplay /dev/mapper/mysql-mysql--mycg 976 [2025-10-05 08:36:53][root]vgextend mysql /dev/vdb1 977 [2025-10-05 08:37:10][root]lvextend -l +100%FREE /dev/mysql/mysql--mycg
初步看,应该是先尝试umount /dev/vdb1,但是没有成功,然后直接reboot重启了主机,起来之后,进行了pvcreate[操作成功],vgextend,lvextend等操作[失败,因为vg里面的之前的pv信息已经丢失],而且之前lv无法mount成功,数据库文件/备份均在这个lv里面,而且从库很久之前没有正常同步.基于这样的情况,就一定要对vdb磁盘中数据进行恢复.查看操作系统信息,确认是arm系统
联系:手机/微信(+86 17813235971) QQ(107644445)
作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]
以前写过一篇文章在linux老版本中,进入单用户模式的方法:linux 4/5/6版本进入单用户模式,今天测试主流的redhat系列(测试使用OEL,没有本质区别)7和8版本中进入单用户.
主要操作步骤:
1)选择linux启动项,输入e
2)根据你的RHEL/CentOS/OEL版本,找到 linux16/linux/linuxefi等类似启动语句语句,按下键盘上的 End 键,跳到行末,添加关键词 rd.break,按下 Ctrl+x 或 F10 来进入单用户模式
3)mount 根文件系统为读写模式:mount -o remount,rw /sysroot
4)指定/sysroot为/挂载点:chroot /sysroot
5)进行需要的系统操作,比如重设root密码,修改不合适的系统配置(fstab,sysctl.conf等),然后sync同步数据
6)重启系统:reboot -f(也可以两次exit实现重启)
linux 7系列进入单用户演示
联系:手机/微信(+86 17813235971) QQ(107644445)
标题:Failed to open EFIredhatgrubx64.efi – Not Found 故障处理
作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]
由于某种原因导致linux的grubx64.efi文件丢失,系统重启报错(Failed to open \EFI\redhat\grubx64.efi – Not Found)
联系:手机/微信(+86 17813235971) QQ(107644445)
作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]
运行在云平台上的达梦数据库,部署了DMDataWatch(类似oracle的dataguard),在重启主备库进行扩容内存之后,发现两个机器数据库所在磁盘的分区信息,lvm信息全部丢失,通过查看history文件,最终确认在24年9月份做了一次fio的性能测试,但是当时数据没有出问题,一直运行至今,现在重启两个机器系统之后,均重现同样问题,导致主备容灾,备份全备异常.
通过对磁盘进行分析,发现客户说描述的分区信息(从磁盘2T,三个分区data,bak,arch,而且分区大小也一直10:6:4),但是没有发现lvm信息
 |
|