Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 11

Temat: linux file recovery

  1. #1
    Avatar dexter
    dexter jest offline Element wywrotowy
    Zarejestrowany
    Jun 2007
    Skąd
    Poznań
    Postów
    159

    Domyślnie linux file recovery

    Czy na systemy plików ext3 są przewidziane narzędzia typu Ontrack EasyRecovery - czy jeśli wywaliłem przypadkiem plik to jestem zmuszony z-cat-ować całą partycję a potem sobie przeszukiwać plik o wielkości 950 GB

    Przypadkiem wywaliłem log z apacha - a potrzebny mi był do analiz

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    ext2 i ext3 to systemy transakcyjne - jesli wiesz dokladnie czego szukasz to jestes w stanie to odtworzyc ale ja bym tam OnTrack'a nie puszczal po dysku bo to sliska sprawa... chyba ze oddac ekipie OnTrack'a dysk do analizy a to juz inna bajka.

    Read more:
    http://lists.terrasoftsolutions.com/...er/010689.html
    http://std.dkuug.dk/keld/readme-salvage.html

    Wlasnie w wolnych chwilach czytam File System Forensic Analysis - jest tam sporo przydatnych rzeczy ale ze niedawno dopiero zaczalem to za duzo nie podpowiem (poza tym aby poszukac - na pewno ksiazka jest gdzies na sieci i moze sie przyda).
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Avatar dexter
    dexter jest offline Element wywrotowy
    Zarejestrowany
    Jun 2007
    Skąd
    Poznań
    Postów
    159

    Domyślnie

    to zdaje się, że jestem ugotowany - o metodach jakie podałeś już czytałem.
    Niestety nie znam lokalizacji fizycznej jaką miał /var/log/apache2.log
    Plik miał 655887455 bajtów, więc całkiem sporo
    Na listach polecono mi testdisk i photorec - problem jest taki, że maszyna posiada jeden dysk fizyczny i nie mam możliwości jego wyjęcia - przestój maszyny da większe straty niż wartość utraconego dziennika. Nie mam więc możliwości podpięcia dysku pod innego kompa i poskanowania sobie ww. programami

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    ok - to zrobmy to inaczej... moze sie uda... ale bedzie wesolo i nie zazdroszcze...

    Przygotuj sobie miejsce na innej maszynie - niech to bedzie tzw. drop a serwer z tym skasowanym plikiem to po prostu serwer.

    1. drop# nc -l -p 12345 > image-dysku-serwera.dd
    2. serwer# dd if=/dev/hda | nc -q 2 drop 12345

    Na pewno wiesz co to robi... pozniej mozesz bawic sie w analize jak sie da... Jesli np plik byl w /var/log a /var to osobna partycja to zrob dump tej partycji tylko zamiast calego systemu. Pozniej autopsy i jazda po contencie... Mozna znalezc cuda ale trwa to kurewsko dlugo.

    UWAGA!
    Nie pomyl sie w parametrach dd i sprawdz je zanim to odpalisz - jeden blad i nie bedziesz mial systemu!


    Dobra... to ja znikam planowac swoje zajecia na dzisiejsza noc - po pol roku proszenia, uzasadniania itd dostalem zgode aby wylaczyc jeden serwer na 2h (i to gdzies miedzy 3 a 6 rano) aby zrobic ogolna konserwacje - upgrade systemu, nowy kernel, on-site health check, nowa konfiguracja firewall'a sprzetowego itd.

    EDIT:
    Nawiasem mowiac to bedac na Twoim miejscu sam bym takie cwiczenie przeprowadzil i chyba nawet tak zrobie, ale nie na ponad 900GB partycji tylko na czyms mniejszym aby nie zasnac czekajac na wynik
    Majac obraz mozesz na nim grzebac read-only, jak odzyskasz to odzyskasz, jak nie to nie... ale sprobowac warto!
    Ostatnio edytowane przez TQM : 10-16-2007 - 11:34
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Avatar dexter
    dexter jest offline Element wywrotowy
    Zarejestrowany
    Jun 2007
    Skąd
    Poznań
    Postów
    159

    Domyślnie

    no toś mnie teraz zaskoczył

    1. napisz skąd masz takiego manuala do mc (nie używałem go jako serwera)
    2. /var/log/apache2.log był na /dev/hda1

    wnioskując:
    drop# nc -l image-dysku-serwera.dd -p 12345
    serwer# dd if=/dev/hda1 | nc -q 2 192.168.321.drop 12345



    Nie wiem tylko do czego jest -q w nc - nie mam tego opisanego w żadnym z manuali

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    ZLE!

    Polecimy na przykladzie... i lekko usprawnimy

    Kod:
    # fdisk -l
    
    Disk /dev/sde: 31 MB, 31129600 bytes
    4 heads, 32 sectors/track, 475 cylinders
    Units = cylinders of 128 * 512 = 65536 bytes
    
       Device Boot      Start         End      Blocks   Id  System
    /dev/sde1               1         475       30374+   4  FAT16 <32M
    to moja karta ktora dostalem z cyfrowka (tak... nadal daja 32MB ale jak widac czasami sie przydaje).

    Teraz zalozmy ze jestem na maszynie o nazwie TQM i IP 10.0.0.5 i chce obraz przeslac do 10.0.0.6 (nazywa sie DROP).

    Kod:
    DROP$ nc -l -p 12345 > image.dd
    Tu mozna nawet jako user, wazne by miejsca na dysku wystarczylo...

    Kod:
    TQM# dd if=/dev/sde1 | nc 10.0.0.6 12345
    60749+0 records in
    60749+0 records out
    31103488 bytes (31 MB) copied, 4.12322 seconds, 7.5 MB/s
    W tym momencie na maszynie DROP program nc zakonczy polaczenie i juz jestesmy gotowi:

    Kod:
    DROP$ ls -lh image.dd 
    -rw-r--r-- 1 tm tm 30M 2007-10-16 16:02 image.dd
    Dalej mozesz to podlozyc do autopsy albo podmontowac samodzielnie i korzystac z plikow

    Kod:
    DROP# mount -o ro,loop image.dd /mnt/SERVER-hda1-from-image
    W ten sposob mozna robic kopie bitowe calych partycji czy dyskow po sieci - wersja dla ubogich lub ludzi w gownie po uszy - gdy nie mozesz zapisac nic na dysku aby nie zamazac poszukiwanych danych
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Avatar dexter
    dexter jest offline Element wywrotowy
    Zarejestrowany
    Jun 2007
    Skąd
    Poznań
    Postów
    159

    Domyślnie

    wszystko si - ale to co napisales zalapalem za pierwszym razem ;p

    chodzi o to, ze dales opcje "-q 2" do mc - a w zadnej dokumentacji nie znalazlem opisu tej opcji - i o to mi chodzilo

    pozostale opcje sa jasne jak slonce

  8. #8
    Avatar kaspsior
    kaspsior jest offline يحشطخبؤءفنو٢٥٣كهي
    Zarejestrowany
    May 2007
    Postów
    406

    Domyślnie

    `man nc` ....

    -q seconds after EOF on stdin, wait the specified number of seconds
    and then quit.

  9. #9
    Avatar dexter
    dexter jest offline Element wywrotowy
    Zarejestrowany
    Jun 2007
    Skąd
    Poznań
    Postów
    159

    Domyślnie

    ok - i wszystko jasne

    nie wiem czemu dopiero w ostatnim poscie doczytalem sie ze chodzi o nc (ncftp) a nie mc (midnight commander)

    dlatego cos mi sie moj manual nie zgadzal

  10. #10
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Hehe... nie ncftp tylko nc jak netcat
    To jak dexter? Jeszcze jedna kawa i wracamy do roboty, co?

    -q 2 dodalem na poczatku bo nie bylem pewien czy dd zwroci poprawnie EOF ale jak widac ladnie zwraca wiec jest super... inaczej trzebaby patrzec jak dlugo plik docelowy rosnie i jak przestanie przyrastac dac mu jeszcze troche czasu i zamknac koniec wysylajacy dane. Raz mialem przypadek, ze to -q 2 dawalo systemowi czas na zamkniecie strumieni i flush pakietow po sieci... wiec fizycznie tamto nc dopiero po Ctrl+C wyslalo ostatni pakiet Teraz chyba juz ten problem nie istnieje - nc to jeden z najpewniejszych sposobow przesylania czegokolwiek po sieci hehe - tyle ze nie ma autoryzacji zadnej :P
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Strona 1 z 2 12 OstatniOstatni

Podobne wątki

  1. linux e-sklep
    By Sardihan in forum Biznes internetowy
    Odpowiedzi: 3
    Autor: 09-27-2008, 09:08
  2. Linux i lb
    By Flavoxx in forum Linux
    Odpowiedzi: 8
    Autor: 08-07-2007, 17:35
  3. Linux
    By eryk in forum Hacking
    Odpowiedzi: 8
    Autor: 03-15-2007, 21:01
  4. Linux
    By eryk in forum Linux
    Odpowiedzi: 7
    Autor: 03-08-2007, 21:02
  5. Odpowiedzi: 3
    Autor: 03-07-2007, 14:45

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj