Hallo,
ich habe ein Frage.
wie kann ich gelöschte Dateien von meinem Ext3 System vom Rescue mode wiederherstellen ?
Habe leider feststellen müssen dass ein sicherer Server nichts bringt, wenn der Client daheim ein Trojaner bekommt. Muss jetzt so schnell wie möglich an meine Daten wieder kommen.
Bitte keine Diskussionen über Backup. Darüber bin ich mir selbst bewusst was für ein Fehler ich gemacht habe..
Vielen Dank für eine Antwort.
Gruß
Michael
undelete von ext3
-
outofbound
- Posts: 470
- Joined: 2002-05-14 13:02
- Location: Karlsruhe City
Re: undelete von ext3
http://batleth.sapienti-sat.org/project ... 3-faq.html
--- snip ---
Q: How can I recover (undelete) deleted files from my ext3 partition?
Actually, you can't! This is what one of the developers, Andreas Dilger, said about it:
In order to ensure that ext3 can safely resume an unlink after a crash, it actually zeros out the block pointers in the inode, whereas
ext2 just marks these blocks as unused in the block bitmaps and marks the inode as "deleted" and leaves the block pointers alone.
Your only hope is to "grep" for parts of your files that have been deleted and hope for the best.
--- snap ---
Das heisst also:
a) Al says: "Save early, save often".
b) Auch wenn dus nicht hören willst: Backups machen ist lebenswichtig.
c) dd von der Platte machen und dann mitm Editor drüberwuseln und beten.
Wenn der Angreifer allerdings über nen Trojaner auf deine Kiste ist, würde ich
mir mal überlegen, wer meine Freunde sind, weil das ziemlich gezielt ist und
Datenlöschen nicht wirklich das ist, was Hacker für gewöhnlich tun, denn sie
wollen das System ja unterwandern, nicht zerstören und mir überlegen,
wer das gewesen sein könnte.
Gruss,
Out
--- snip ---
Q: How can I recover (undelete) deleted files from my ext3 partition?
Actually, you can't! This is what one of the developers, Andreas Dilger, said about it:
In order to ensure that ext3 can safely resume an unlink after a crash, it actually zeros out the block pointers in the inode, whereas
ext2 just marks these blocks as unused in the block bitmaps and marks the inode as "deleted" and leaves the block pointers alone.
Your only hope is to "grep" for parts of your files that have been deleted and hope for the best.
--- snap ---
Das heisst also:
a) Al says: "Save early, save often".
b) Auch wenn dus nicht hören willst: Backups machen ist lebenswichtig.
c) dd von der Platte machen und dann mitm Editor drüberwuseln und beten.
Wenn der Angreifer allerdings über nen Trojaner auf deine Kiste ist, würde ich
mir mal überlegen, wer meine Freunde sind, weil das ziemlich gezielt ist und
Datenlöschen nicht wirklich das ist, was Hacker für gewöhnlich tun, denn sie
wollen das System ja unterwandern, nicht zerstören und mir überlegen,
wer das gewesen sein könnte.
Gruss,
Out
-
[monk]
- Posts: 163
- Joined: 2002-08-09 17:31
- Location: Ulm
Re: undelete von ext3
danke für die Antwort.
Na ja. Das Problem war dass ich seit 6 wochen auf mein dsl warte. Musste derweil by call online gehen und hab sowas wie eine software firewall nicht. nur nen hardware dsl router der mir immer alles blockte.. ein paar sekunden später hatte ich ihn dann wohl eingefangen.
um root rechte aufm server zu erlangen brauchte man zwei passwörter mit jewils 14 stellen. Groß kleinschreibung, sonderzeichen und zahlen. Mit richtigen Timeouts. das ding war per brute force nicht zu erreichen. Sicherheitsupdates waren auch immer aufm letzten stand..
Ich kann es mir nur über den Trojaner erklärt haben.
Mich hatte es auch überrascht. Ich hätte nur gedacht dass der Server höchstnes irgendwie mißbraucht wird. aber es wurden gezielt nur die ordner mit den Daten gelöscht. sprich /var und /home alles andere vom system her ist noch drauf.
Aber ok. dann werd ich jetzt wohl dumm da stehen. Schade dass es auf einem 1und1 server passierte und nicht auf einen von meinen eigenen. Denke mit Physikalischem Zugriff hätte ich onch mehr chancen gehabt.
dennoch danke für die antwort.
wünsche ein schönes wochenende
Gruß
Michael
Na ja. Das Problem war dass ich seit 6 wochen auf mein dsl warte. Musste derweil by call online gehen und hab sowas wie eine software firewall nicht. nur nen hardware dsl router der mir immer alles blockte.. ein paar sekunden später hatte ich ihn dann wohl eingefangen.
um root rechte aufm server zu erlangen brauchte man zwei passwörter mit jewils 14 stellen. Groß kleinschreibung, sonderzeichen und zahlen. Mit richtigen Timeouts. das ding war per brute force nicht zu erreichen. Sicherheitsupdates waren auch immer aufm letzten stand..
Ich kann es mir nur über den Trojaner erklärt haben.
Mich hatte es auch überrascht. Ich hätte nur gedacht dass der Server höchstnes irgendwie mißbraucht wird. aber es wurden gezielt nur die ordner mit den Daten gelöscht. sprich /var und /home alles andere vom system her ist noch drauf.
Aber ok. dann werd ich jetzt wohl dumm da stehen. Schade dass es auf einem 1und1 server passierte und nicht auf einen von meinen eigenen. Denke mit Physikalischem Zugriff hätte ich onch mehr chancen gehabt.
dennoch danke für die antwort.
wünsche ein schönes wochenende
Gruß
Michael
-
Joe User
- Project Manager
- Posts: 11183
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: undelete von ext3
Eventuell wirst Du auf http://www.zone-h.org/ fündig...
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
sascha
- Posts: 1325
- Joined: 2002-04-22 23:08