Obnova přepsaných souborů

[Mitr]

Ahojte,

hackeři napadli server kde jsem měl docela dost fotek, záloha mám bohužel dost starou :I
Díky právům na fotkách mohli přes PHP skript přepsat tyto soubory. Takže např 2MB soubor byl přepsán souborem o velikosti např 3 kB.
Napadá Vás nějaká možnost jak tyto soubory nebo aspoň jejich část obnovit?

Diskový oddíl s těmito daty jsem odpojil a přes dd -> ssh si ho zálohuju k sobě jinam, takže pak budu moct server zase spustit a budu mít obraz partition stranou a případně si s ním budu moct hrát. Teoreticky by na tom disku mohlo být docela dost data. Jde o to jestli není problém v přepsání souborů, jestli by nebylo v tomto případě lepší smazání, ale možná ta nová část je zapsaná jinde na disku.

Teď jde o to sehnat nějaký dobrý tool v linuxu který by si s tím mohl poradit, na čase zpracování nezáleží, potřebuju z toho dostat co nejvíc.

Díky za nápady.

[Reklama]

[Sten]

PhotoRec

[Mitr]

Díky za tip.
Koukám že je i v repo Ubuntu, zkusil jsem nainstalovat, akorát mi zobrazí jen fyzické disky, takže tu partition asi budu muset nějak připojit jako fyzický disk. Zálohuju teda jen partition (sda6) ne celý disk sda.

[Mitr]

aha tak po odeslání jsem si všiml že snad půjde photorec file.img

[JardaP .]

Jestli ty soubory byly opravdu prepsany, tak vam pomuze akorat kamos v NSA, kteremu poslete fyzicky disk a ktery nema o vikendu co delat.

[Reklama]

[Tany]

Pokud ta oblast disku byla opravdu přepsána, tak věnuj čas tomu, aby jsi napsal neděravou aplikaci, protože pokus o obnovu je ztráta času.

[mhepp]

Zalezi na FS. Pokud tam je btrfs, tak neni nic ztraceno.

[Mitr]

Zazalohoval jsem cely SDA i konkretni partition SDA6.
FS je tam ext4.
Jak jsem psal nahore, utocnik nepresal celou velikost souboru ale napr 2MB soubor zmenil na 3kB soubor s textem. Myslim ze tady by se mohlo zadarit a ze nejaka data mohla zustat na FS, predpokladam ze pri prepsani souboru se snad nemazou vsechna data na FS ext4?

Co se tyka rad s fyzickym diskem, to nepujde, je to VPSka

Zazalohoval jsem disk na coud reseni od jedne ceske spolecnosti a pomalu to taham k sobe, pak s tim neco budu zkouset a uvidim.
Snad z toho ProotRec neco nejak dostane.

[JardaP .]

Tak pokud vam utocnik prepsal zacatky souboru, kde jsou hlavicky, tak to photorec asi nepozna. A i kdyby poznal, tak treba jpeg, ktery ma dokopany zacatek, take asi nepujde precist a je otazka, jestli to jde nejak aspon castecne zrekonstruovat. Tedy v pripade, ze by se vam podarilo nejak oddelit od sebe jednotlive soubory.

Nahodou provider vasi VPS nedela zalohy? Ze by se mu nekde valela jedna z doby pred utokem?

[j]

Jestli ty soubory byly opravdu prepsany, tak vam pomuze akorat kamos v NSA, kteremu poslete fyzicky disk a ktery nema o vikendu co delat.

Nemusi bejt ani z NSA, da se to zkusit i v CR, ale pripravit si na to bude muset minimalne 6timistnou castku, a zcela bez zaruky. Jo, nezalohovat se dycky vyplati, usetri se totiz za disk. (pripadne je bezva napad verit tomu, ze data v cmoudu jsou prece zcela 100% v bezpeci).

[Worker]

Zalezi na FS. Pokud tam je btrfs, tak neni nic ztraceno.

Neriesil toto nahodou aj ReiserFS?

[Tomáš Crhonek]

Velmi záleží na tom jakým způsobem to přepsal. Pokud otevřel původní soubor, udělal truncate a zapsal tam nový obsah, tak je naděje na obnovení malá (prostě část souboru přepsal na místě). Pokud to ale dělá způsobem vytvoření souboru stejného jména (unlink a mv), tak je docela slušná šance, že jsou původní data nedotčená. Jako pravděpodobnější bych viděl druhou variantu, tam by měl photorec zafungovat.

Příště ale důkladně zálohovat. Je to snadnější než to složitě obnovovat. 

[wezonix]

Mám dojem, že konkrétně u ext4 záleží na způsobu, jakým je připojen. Pokud bude připojen s využitím volby data=journal , mělo by být možné obnovit vše bez potíží. U voleb data=ordered a data=writeback bude asi záležet na tom, co se vlastně podařilo přepsat.

[j]

Velmi záleží na tom jakým způsobem to přepsal. ...

Rek bych, ze ani ne. Je to VPS, takze jakmile se soubor smazne, uvolni se prislusny misto na disku pro zapisy vsem ostatnim na tom serveru, takze je uplne jedno jak to prepsal a rek bych (pokud ta VPSka funguje jak ma) ze je i uplne jedno jakej FS tam ma.

Zalezi samo na spouste okolnostech, ale v kazdym pripade by pro jakykoli zachranovany bylo treba ten stroj vypnout, a vyndat z nej disky, coz asi nehrozi. Normalne funguji vsemozny virtualizacni bazmeky tak, ze ty mas nejak limitovany prostredky (CPU, RAM, HDD), pro tvuj system se to jevi jako ze mas zcela konkretni (trebas ze mas 4GB ram + 2GHz CPU + 100GB HDD), ale ve skutecnosti je to, co prave nevyuzivas sdileny se vsema ostatnima.

Prakticky vzdy to plati pro CPU a RAM, ale i pro disky uz sem to videl. Byt to neni uplne bezna konfigurace. Jenze stejne musis zapocitat i to, ze ti pod tim bezi nejakej dalsi FS, o kterym toho vetsinou moc nevis, a uz vubec nemuzes predpokladat, jak alokuje na fyzickym disku.

[Mitr]

Tak obnova z ext4 partition byla dokončena, zdá se že našel dost souborů - celkem 21 GB.

Problém je akorát ten, že neznám původní názvy souborů a jejich umístění v adresářích.

photorec vytvořil strukturu:
recup_dir.X a v těchto adresářích jsou různé soubory ani nesouvisí adresáře s rozmístěním na disku (jako že jeden recup_dir.1 by např obsahoval obsah jednoho adresáře na disku). To je pro mne trochu problém.

Napadá Vás někoho ideálně třeba i jiný tool, který by dokázal spárovat i původní názvy souborů? Nebo z jiného pohledu aktuální soubor na disku (např 000156.jpg (s velikostí 3 kB) a jeho předchozí verze = soubor který potřebuji např s velikostí 2 MB?).