linux file recovery

[dexter]

Czy na systemy plików ext3 są przewidziane narzędzia typu Ontrack EasyRecovery - czy jeśli wywaliłem przypadkiem plik to jestem zmuszony z-cat-ować całą partycję a potem sobie przeszukiwać plik o wielkości 950 GB

Przypadkiem wywaliłem log z apacha - a potrzebny mi był do analiz

[TQM]

ext2 i ext3 to systemy transakcyjne - jesli wiesz dokladnie czego szukasz to jestes w stanie to odtworzyc ale ja bym tam OnTrack'a nie puszczal po dysku bo to sliska sprawa... chyba ze oddac ekipie OnTrack'a dysk do analizy a to juz inna bajka.

Read more:
http://lists.terrasoftsolutions.com/...er/010689.html
http://std.dkuug.dk/keld/readme-salvage.html

Wlasnie w wolnych chwilach czytam File System Forensic Analysis - jest tam sporo przydatnych rzeczy ale ze niedawno dopiero zaczalem to za duzo nie podpowiem (poza tym aby poszukac - na pewno ksiazka jest gdzies na sieci i moze sie przyda).

[dexter]

to zdaje się, że jestem ugotowany - o metodach jakie podałeś już czytałem.
Niestety nie znam lokalizacji fizycznej jaką miał /var/log/apache2.log
Plik miał 655887455 bajtów, więc całkiem sporo
Na listach polecono mi testdisk i photorec - problem jest taki, że maszyna posiada jeden dysk fizyczny i nie mam możliwości jego wyjęcia - przestój maszyny da większe straty niż wartość utraconego dziennika. Nie mam więc możliwości podpięcia dysku pod innego kompa i poskanowania sobie ww. programami

[TQM]

ok - to zrobmy to inaczej... moze sie uda... ale bedzie wesolo i nie zazdroszcze...

Przygotuj sobie miejsce na innej maszynie - niech to bedzie tzw. drop a serwer z tym skasowanym plikiem to po prostu serwer.

1. drop# nc -l -p 12345 > image-dysku-serwera.dd
2. serwer# dd if=/dev/hda | nc -q 2 drop 12345

Na pewno wiesz co to robi... pozniej mozesz bawic sie w analize jak sie da... Jesli np plik byl w /var/log a /var to osobna partycja to zrob dump tej partycji tylko zamiast calego systemu. Pozniej autopsy i jazda po contencie... Mozna znalezc cuda ale trwa to kurewsko dlugo.

UWAGA!
Nie pomyl sie w parametrach dd i sprawdz je zanim to odpalisz - jeden blad i nie bedziesz mial systemu!

Dobra... to ja znikam planowac swoje zajecia na dzisiejsza noc - po pol roku proszenia, uzasadniania itd dostalem zgode aby wylaczyc jeden serwer na 2h (i to gdzies miedzy 3 a 6 rano) aby zrobic ogolna konserwacje - upgrade systemu, nowy kernel, on-site health check, nowa konfiguracja firewall'a sprzetowego itd.

EDIT:
Nawiasem mowiac to bedac na Twoim miejscu sam bym takie cwiczenie przeprowadzil i chyba nawet tak zrobie, ale nie na ponad 900GB partycji tylko na czyms mniejszym aby nie zasnac czekajac na wynik
Majac obraz mozesz na nim grzebac read-only, jak odzyskasz to odzyskasz, jak nie to nie... ale sprobowac warto!

[dexter]

no toś mnie teraz zaskoczył

1. napisz skąd masz takiego manuala do mc (nie używałem go jako serwera)
2. /var/log/apache2.log był na /dev/hda1

wnioskując:
drop# nc -l image-dysku-serwera.dd -p 12345
serwer# dd if=/dev/hda1 | nc -q 2 192.168.321.drop 12345



Nie wiem tylko do czego jest -q w nc - nie mam tego opisanego w żadnym z manuali

[TQM]

ZLE!

Polecimy na przykladzie... i lekko usprawnimy

Kod:

# fdisk -l

Disk /dev/sde: 31 MB, 31129600 bytes
4 heads, 32 sectors/track, 475 cylinders
Units = cylinders of 128 * 512 = 65536 bytes

   Device Boot      Start         End      Blocks   Id  System
/dev/sde1               1         475       30374+   4  FAT16 <32M

to moja karta ktora dostalem z cyfrowka (tak... nadal daja 32MB ale jak widac czasami sie przydaje).

Teraz zalozmy ze jestem na maszynie o nazwie TQM i IP 10.0.0.5 i chce obraz przeslac do 10.0.0.6 (nazywa sie DROP).

Kod:

DROP$ nc -l -p 12345 > image.dd

Tu mozna nawet jako user, wazne by miejsca na dysku wystarczylo...

Kod:

TQM# dd if=/dev/sde1 | nc 10.0.0.6 12345
60749+0 records in
60749+0 records out
31103488 bytes (31 MB) copied, 4.12322 seconds, 7.5 MB/s

W tym momencie na maszynie DROP program nc zakonczy polaczenie i juz jestesmy gotowi:

Kod:

DROP$ ls -lh image.dd 
-rw-r--r-- 1 tm tm 30M 2007-10-16 16:02 image.dd

Dalej mozesz to podlozyc do autopsy albo podmontowac samodzielnie i korzystac z plikow

Kod:

DROP# mount -o ro,loop image.dd /mnt/SERVER-hda1-from-image

W ten sposob mozna robic kopie bitowe calych partycji czy dyskow po sieci - wersja dla ubogich lub ludzi w gownie po uszy - gdy nie mozesz zapisac nic na dysku aby nie zamazac poszukiwanych danych

[dexter]

wszystko si - ale to co napisales zalapalem za pierwszym razem ;p

chodzi o to, ze dales opcje "-q 2" do mc - a w zadnej dokumentacji nie znalazlem opisu tej opcji - i o to mi chodzilo

pozostale opcje sa jasne jak slonce

[kaspsior]

`man nc` ....

-q seconds after EOF on stdin, wait the specified number of seconds
and then quit.

[dexter]

ok - i wszystko jasne

nie wiem czemu dopiero w ostatnim poscie doczytalem sie ze chodzi o nc (ncftp) a nie mc (midnight commander)

dlatego cos mi sie moj manual nie zgadzal

[TQM]

Hehe... nie ncftp tylko nc jak netcat
To jak dexter? Jeszcze jedna kawa i wracamy do roboty, co?

-q 2 dodalem na poczatku bo nie bylem pewien czy dd zwroci poprawnie EOF ale jak widac ladnie zwraca wiec jest super... inaczej trzebaby patrzec jak dlugo plik docelowy rosnie i jak przestanie przyrastac dac mu jeszcze troche czasu i zamknac koniec wysylajacy dane. Raz mialem przypadek, ze to -q 2 dawalo systemowi czas na zamkniecie strumieni i flush pakietow po sieci... wiec fizycznie tamto nc dopiero po Ctrl+C wyslalo ostatni pakiet Teraz chyba juz ten problem nie istnieje - nc to jeden z najpewniejszych sposobow przesylania czegokolwiek po sieci hehe - tyle ze nie ma autoryzacji zadnej :P