Fórum Root.cz
Hlavní témata => Server => Téma založeno: Mitr 19. 06. 2015, 23:21:29
-
Ahojte,
hackeři napadli server kde jsem měl docela dost fotek, záloha mám bohužel dost starou :I
Díky právům na fotkách mohli přes PHP skript přepsat tyto soubory. Takže např 2MB soubor byl přepsán souborem o velikosti např 3 kB.
Napadá Vás nějaká možnost jak tyto soubory nebo aspoň jejich část obnovit?
Diskový oddíl s těmito daty jsem odpojil a přes dd -> ssh si ho zálohuju k sobě jinam, takže pak budu moct server zase spustit a budu mít obraz partition stranou a případně si s ním budu moct hrát. Teoreticky by na tom disku mohlo být docela dost data. Jde o to jestli není problém v přepsání souborů, jestli by nebylo v tomto případě lepší smazání, ale možná ta nová část je zapsaná jinde na disku.
Teď jde o to sehnat nějaký dobrý tool v linuxu který by si s tím mohl poradit, na čase zpracování nezáleží, potřebuju z toho dostat co nejvíc.
Díky za nápady.
-
PhotoRec
-
Díky za tip.
Koukám že je i v repo Ubuntu, zkusil jsem nainstalovat, akorát mi zobrazí jen fyzické disky, takže tu partition asi budu muset nějak připojit jako fyzický disk. Zálohuju teda jen partition (sda6) ne celý disk sda.
-
aha tak po odeslání jsem si všiml že snad půjde photorec file.img :)
-
Jestli ty soubory byly opravdu prepsany, tak vam pomuze akorat kamos v NSA, kteremu poslete fyzicky disk a ktery nema o vikendu co delat.
-
Pokud ta oblast disku byla opravdu přepsána, tak věnuj čas tomu, aby jsi napsal neděravou aplikaci, protože pokus o obnovu je ztráta času.
-
Zalezi na FS. Pokud tam je btrfs, tak neni nic ztraceno.
-
Zazalohoval jsem cely SDA i konkretni partition SDA6.
FS je tam ext4.
Jak jsem psal nahore, utocnik nepresal celou velikost souboru ale napr 2MB soubor zmenil na 3kB soubor s textem. Myslim ze tady by se mohlo zadarit a ze nejaka data mohla zustat na FS, predpokladam ze pri prepsani souboru se snad nemazou vsechna data na FS ext4?
Co se tyka rad s fyzickym diskem, to nepujde, je to VPSka :)
Zazalohoval jsem disk na coud reseni od jedne ceske spolecnosti a pomalu to taham k sobe, pak s tim neco budu zkouset a uvidim.
Snad z toho ProotRec neco nejak dostane.
-
Tak pokud vam utocnik prepsal zacatky souboru, kde jsou hlavicky, tak to photorec asi nepozna. A i kdyby poznal, tak treba jpeg, ktery ma dokopany zacatek, take asi nepujde precist a je otazka, jestli to jde nejak aspon castecne zrekonstruovat. Tedy v pripade, ze by se vam podarilo nejak oddelit od sebe jednotlive soubory.
Nahodou provider vasi VPS nedela zalohy? Ze by se mu nekde valela jedna z doby pred utokem?
-
Jestli ty soubory byly opravdu prepsany, tak vam pomuze akorat kamos v NSA, kteremu poslete fyzicky disk a ktery nema o vikendu co delat.
Nemusi bejt ani z NSA, da se to zkusit i v CR, ale pripravit si na to bude muset minimalne 6timistnou castku, a zcela bez zaruky. Jo, nezalohovat se dycky vyplati, usetri se totiz za disk. (pripadne je bezva napad verit tomu, ze data v cmoudu jsou prece zcela 100% v bezpeci).
-
Zalezi na FS. Pokud tam je btrfs, tak neni nic ztraceno.
Neriesil toto nahodou aj ReiserFS?
-
Velmi záleží na tom jakým způsobem to přepsal. Pokud otevřel původní soubor, udělal truncate a zapsal tam nový obsah, tak je naděje na obnovení malá (prostě část souboru přepsal na místě). Pokud to ale dělá způsobem vytvoření souboru stejného jména (unlink a mv), tak je docela slušná šance, že jsou původní data nedotčená. Jako pravděpodobnější bych viděl druhou variantu, tam by měl photorec zafungovat.
Příště ale důkladně zálohovat. Je to snadnější než to složitě obnovovat. ;)
-
Mám dojem, že konkrétně u ext4 záleží na způsobu, jakým je připojen. Pokud bude připojen s využitím volby data=journal , mělo by být možné obnovit vše bez potíží. U voleb data=ordered a data=writeback bude asi záležet na tom, co se vlastně podařilo přepsat.
-
Velmi záleží na tom jakým způsobem to přepsal. ...
Rek bych, ze ani ne. Je to VPS, takze jakmile se soubor smazne, uvolni se prislusny misto na disku pro zapisy vsem ostatnim na tom serveru, takze je uplne jedno jak to prepsal a rek bych (pokud ta VPSka funguje jak ma) ze je i uplne jedno jakej FS tam ma.
Zalezi samo na spouste okolnostech, ale v kazdym pripade by pro jakykoli zachranovany bylo treba ten stroj vypnout, a vyndat z nej disky, coz asi nehrozi. Normalne funguji vsemozny virtualizacni bazmeky tak, ze ty mas nejak limitovany prostredky (CPU, RAM, HDD), pro tvuj system se to jevi jako ze mas zcela konkretni (trebas ze mas 4GB ram + 2GHz CPU + 100GB HDD), ale ve skutecnosti je to, co prave nevyuzivas sdileny se vsema ostatnima.
Prakticky vzdy to plati pro CPU a RAM, ale i pro disky uz sem to videl. Byt to neni uplne bezna konfigurace. Jenze stejne musis zapocitat i to, ze ti pod tim bezi nejakej dalsi FS, o kterym toho vetsinou moc nevis, a uz vubec nemuzes predpokladat, jak alokuje na fyzickym disku.
-
Tak obnova z ext4 partition byla dokončena, zdá se že našel dost souborů - celkem 21 GB.
Problém je akorát ten, že neznám původní názvy souborů a jejich umístění v adresářích.
photorec vytvořil strukturu:
recup_dir.X a v těchto adresářích jsou různé soubory ani nesouvisí adresáře s rozmístěním na disku (jako že jeden recup_dir.1 by např obsahoval obsah jednoho adresáře na disku). To je pro mne trochu problém.
Napadá Vás někoho ideálně třeba i jiný tool, který by dokázal spárovat i původní názvy souborů? Nebo z jiného pohledu aktuální soubor na disku (např 000156.jpg (s velikostí 3 kB) a jeho předchozí verze = soubor který potřebuji např s velikostí 2 MB?).
-
R-Studio (Win. Mac), ale není zadarmo a není levný.
Recuva (Win) - zadarmo v základní verzi, ale ta zase asi nebude umět linuxové FS.
Disk Drill (Mac) - není zadarmo, ale je výrazně levnější než R-Studio
extundelete (Linux), pracuje právě se žurnálem na Ext FS.
Všechny vyjmenované umí - pokud není příliš pozdě - obnovit data včetně adresářové struktury.
-
TKL: R-Studio je i verze pro Linux, ale jses si jistej ze obnovuje(i ostatni) dir strukturu a jmena i na extfs ??
podle me dir a nazvy neziska... jedine co, tak pokud fotky maji exif, tak je prejmenuje na treba datum (napr. jmeno_fotaku-datum_cas.jpg) vytahlej z exifu...treba pomoci http://linux.die.net/man/1/exiv2 nebo http://linux.die.net/man/1/exiftool
-
tak koukam je ke stazeni linux demo, takze se ta vyzkouset, limit dema je obnova souboru do 256KB...
http://www.r-studio.com/data_recovery_linux/Download.shtml
-
TKL: R-Studio je i verze pro Linux, ale jses si jistej ze obnovuje(i ostatni) dir strukturu a jmena i na extfs ??
Jistý si tím u ext nejsem. U HFS+ ale ano. Tudíž předpokládám, že to umí vydolovat z žurnálu, pokud to tam ještě je. A když to umí u HFS+, není důvod, aby to neuměl u ext, obzvláště za ty nehorázné prachy.
-
TKL: zkusil jsem jako první extundelete, mám tam trochu problém s tím že ten disk mám v souboru jako image.
Někde jsem viděl i variantu aktuální soubor přejmenovat a pak dát undelete na původní název a že bych měl dostat tu předchozí verzi.
Také jsem vygooglil debugfs, lsdel, ale to mi s tím image taky nějak nefungovalo.
-
Napadá Vás někoho ideálně třeba i jiný tool, který by dokázal spárovat i původní názvy souborů?
Tak o takovem jsem jeste neslysel. Nerikam, ze neexistuje, ale cert vi, jestli to vubec jde.
Ja jsem nedavno doloval data z krachleho NTFS a vysledek jsem roztridil podle pripon skriptem z http://www.cgsecurity.org/wiki/After_Using_PhotoRec#Sort_files_by_extension . Pouzil jsem skript ktery vytvari hardlinky. Kdyz to ma clovek aspon podle pripony, je to mene hrozny bordel, nez hafo podadresaru, kde je vsechno pomichane.
U fotek by se mozna nasel nejaky nastroj, ktery by umel prejmenovat podle Exifu.
-
JardaP: exif nastroje muzes najit o ~10cm vejs (#post_msg133973) ;)
TKL: se prave bojim ze u extfs ne :( ale co at zkusi to demo a uvidi hned :)
Mitr: k image muzes priradit virtualni device pomoci kpartx (http://linux.die.net/man/8/kpartx) (v pripade ze v image je celej disk, tabulka oddilu a partisna(y)) nebo losetup (http://linux.die.net/man/8/losetup) (v pripade ze jde o image pouze 1 partisny bez partition table)
-
Pokud otevřel původní soubor, udělal truncate a zapsal tam nový obsah, tak je naděje na obnovení malá (prostě část souboru přepsal na místě)
Spíše, téměř žádná šance.