Foremost

Bonjour,

Chez un de mes clients, un serveur a fait l'objet d'une mauvaise manipulation ou bien d'un acte de malveillance.
Sur le système de fichier /, plusieurs dossiers systèmes ont été effacés.
Actuellement, je fais une image du disque pour faire une analyse ultérieure et dès que c'est fini, je vais remettre en place les dossiers effacés depuis une sauvegarde.
En fait il manque :
/bin,
/var,
/usr,
/root
et peut-être d'autres...
Et je ne peux même pas trouver à quelle heure la boulette a été réalisée, sous quel compte et depuis quelle IP (si toutefois ce n'est pas directement depuis le serveur) s'est connecté le vandale qui m'a tout pété.
Forcément les fichiers logs ont été détruits aussi !


Je voudrais savoir si foremost peut m'aider à retrouver tout cela.
J'ai fait un essai tout à l'heure, en démarrant sur une clé live GNU/Linux.
fdisk -l me disait que la partition concernée était /dev/sdb1
J'ai utilisé la commande suivant :
# foremost -d /dev/sdb1
mais cela m'a paru énormément long et je n'ai pas vu beaucoup de résultat.
C'est pour cela que j'ai fait une image du disque pour analyse ultérieure car le client attend son serveur.

Je vais chercher de l'aide sur les différents sites, mais j'ai l'impression qu'on ne peut pas récupérer de dossier avec foremost.

Quelqu'un connait-il bien ce produit ?

Merci par avance pour vos réponses.
Bien cordialement.
Jonas.



Une idée reçue est souvent une idée morte.