Foremost
Résolu
Bonjour,
Chez un de mes clients, un serveur a fait l'objet d'une mauvaise manipulation ou bien d'un acte de malveillance.
Sur le système de fichier /, plusieurs dossiers systèmes ont été effacés.
Actuellement, je fais une image du disque pour faire une analyse ultérieure et dès que c'est fini, je vais remettre en place les dossiers effacés depuis une sauvegarde.
En fait il manque :
/bin,
/var,
/usr,
/root
et peut-être d'autres...
Et je ne peux même pas trouver à quelle heure la boulette a été réalisée, sous quel compte et depuis quelle IP (si toutefois ce n'est pas directement depuis le serveur) s'est connecté le vandale qui m'a tout pété.
Forcément les fichiers logs ont été détruits aussi !
Je voudrais savoir si foremost peut m'aider à retrouver tout cela.
J'ai fait un essai tout à l'heure, en démarrant sur une clé live GNU/Linux.
fdisk -l me disait que la partition concernée était /dev/sdb1
J'ai utilisé la commande suivant :
# foremost -d /dev/sdb1
mais cela m'a paru énormément long et je n'ai pas vu beaucoup de résultat.
C'est pour cela que j'ai fait une image du disque pour analyse ultérieure car le client attend son serveur.
Je vais chercher de l'aide sur les différents sites, mais j'ai l'impression qu'on ne peut pas récupérer de dossier avec foremost.
Quelqu'un connait-il bien ce produit ?
Merci par avance pour vos réponses.
Bien cordialement.
Jonas.
Une idée reçue est souvent une idée morte.
Chez un de mes clients, un serveur a fait l'objet d'une mauvaise manipulation ou bien d'un acte de malveillance.
Sur le système de fichier /, plusieurs dossiers systèmes ont été effacés.
Actuellement, je fais une image du disque pour faire une analyse ultérieure et dès que c'est fini, je vais remettre en place les dossiers effacés depuis une sauvegarde.
En fait il manque :
/bin,
/var,
/usr,
/root
et peut-être d'autres...
Et je ne peux même pas trouver à quelle heure la boulette a été réalisée, sous quel compte et depuis quelle IP (si toutefois ce n'est pas directement depuis le serveur) s'est connecté le vandale qui m'a tout pété.
Forcément les fichiers logs ont été détruits aussi !
Je voudrais savoir si foremost peut m'aider à retrouver tout cela.
J'ai fait un essai tout à l'heure, en démarrant sur une clé live GNU/Linux.
fdisk -l me disait que la partition concernée était /dev/sdb1
J'ai utilisé la commande suivant :
# foremost -d /dev/sdb1
mais cela m'a paru énormément long et je n'ai pas vu beaucoup de résultat.
C'est pour cela que j'ai fait une image du disque pour analyse ultérieure car le client attend son serveur.
Je vais chercher de l'aide sur les différents sites, mais j'ai l'impression qu'on ne peut pas récupérer de dossier avec foremost.
Quelqu'un connait-il bien ce produit ?
Merci par avance pour vos réponses.
Bien cordialement.
Jonas.
Une idée reçue est souvent une idée morte.
5 réponses
Bonjour à tous,
En fait j'ai utilisé "testdisk" qui s'est révélé parfait pour cette opération.
Celà m'a permis de mieux comprendre ce qui s'est passé...
Je recommande testdisk, il existe une version pour les trois OS les plus répandus (M$-Windows, MacOSX et GNU/Linux) et c'est un logiciel libre.
A bientux.
Une idée reçue est souvent une idée morte.
En fait j'ai utilisé "testdisk" qui s'est révélé parfait pour cette opération.
Celà m'a permis de mieux comprendre ce qui s'est passé...
Je recommande testdisk, il existe une version pour les trois OS les plus répandus (M$-Windows, MacOSX et GNU/Linux) et c'est un logiciel libre.
A bientux.
Une idée reçue est souvent une idée morte.
J'ai trouvé ça qui pourrait sans doute t'aider (pour compléter foremost, qui ne semble retrouver que certains types de fichiers sur une partition endommagée) :
https://help.ubuntu.com/community/DataRecovery
Bonne chance
https://help.ubuntu.com/community/DataRecovery
Bonne chance
Bonsoir,
Compte-tenu du décalage horaire, je dirai que je regarderai ça demain matin.
Merci.
A bientôt.
Jonas.
Compte-tenu du décalage horaire, je dirai que je regarderai ça demain matin.
Merci.
A bientôt.
Jonas.
Bonjour,
A ma connaissance, foremost permet seulement de récupérer des fichiers, pas des dossiers http://doc.ubuntu-fr.org/foremost
Les noms des fichiers ne sont pas conservés : foremost récupère les fichiers qui correspondent à son filtre (par exemple tous les fichiers .jpg) et leur attribue arbitrairement un nom. Si ça ne pose guère de problèmes quand on veut récupérer des photos, ça devient totalement ingérable dans la situation que tu décris.
A ma connaissance, foremost permet seulement de récupérer des fichiers, pas des dossiers http://doc.ubuntu-fr.org/foremost
Les noms des fichiers ne sont pas conservés : foremost récupère les fichiers qui correspondent à son filtre (par exemple tous les fichiers .jpg) et leur attribue arbitrairement un nom. Si ça ne pose guère de problèmes quand on veut récupérer des photos, ça devient totalement ingérable dans la situation que tu décris.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question