Nach Server Crash: Partitionstabelle durcheinander (ext3)

TestDisk benutzen um verlorene Partitionen wiederherzustellen
Forum rules
Your help is welcome: there are currently few answers or none to most message posted in the German forum!
If you want to post a request for help, please consider using the English forum.
Locked
Message
Author
Denny
Posts: 3
Joined: 03 Dec 2012, 15:49

Nach Server Crash: Partitionstabelle durcheinander (ext3)

#1 Post by Denny »

hi,

nach einem Server Crash ist die Partionstabelle durcheinander geraten. Es existieren nur noch die Swap und eine große Partition, die eigentlich zwei (od. mehr) sein müssten. Die große Partition lässt einhängen, wodurch Teile von /home als auch Teile von "/" (proc/sys/dev/tmp ...) zu sehen sind. Aktuell läuft nochmal ein Scan, dieses Mal mit Log, welche ich nachreichen kann.

testdisk (6.11/Debian Squeeze) arbeitet mit einem Image, welches mit "dd" erstellt wurde.

Derzeit stellt es sich so da, wle auf dem Screenshot. Ein Deeper Scan hat noch einiges mehr zu tage gefördert, aber leider noch keinen Screenshot angefertigt. Alle Partitionen hatten das "D" Flag.

Ich nehme an (der Server steht nicht unter meiner Obhut), dass es sich um drei Partitionen handelt: swap, "/" und "/home".

Was könnte das Problem sein, sodass die Grenze verschwunden ist, und wie lässt sie sich rekonstruieren. Wäre es denkbar die Partitionstabelle komplett zu löschen und sie dann wiederherstellen zu lassen bzw. sie mittels fdisk selbst erneut anzulegen?

Update

hier habe ich eine Auflistung des Deepscans: http://www.denny-schierz.de/tmp/testdisk.jpg

mfg Denny Schierz
Attachments
Bildschirmfoto 2012-12-04 um 10.40.49.png
Bildschirmfoto 2012-12-04 um 10.40.49.png (41.87 KiB) Viewed 3204 times

User avatar
Fiona
Posts: 2835
Joined: 18 Feb 2012, 17:19
Location: Ludwigsburg/Stuttgart - Germany

Re: Nach Server Crash: Partitionstabelle durcheinander (ext3

#2 Post by Fiona »

Wenn du mit einem Image arbeitest, hattest du auch Partition table type "None" probiert?
Quick und Deeper Search können ein wenig länger laufen, aber die Ergebnisse können besser sein.
Könntest du eine neuere Version von TestDisk benutzen?
Bei einen Image empfiehlt es sich die Daten wenn sie gefunden werden, raus zu kopieren.

Viele Grüße

Fiona

Denny
Posts: 3
Joined: 03 Dec 2012, 15:49

Re: Nach Server Crash: Partitionstabelle durcheinander (ext3

#3 Post by Denny »

Hallo Fiona,

ich hatte diesen Thread schon völlig vergessen :-) Also, wenn ich den Partitionseintrag der auf 8909 (deepscan/Screenshotlink) endet verwende, dann habe ich tatsächlich die Möglichkeit auf die Daten zuzugreifen und rauszukopieren. Der einzige Nachteil sind Links, da man dann nicht einfach den Hauptordner kopieren kann, da unter Umständen ein Loop entsteht und der Kopiervorgang nie endet.

Hintergrund: Das System wurde übernommen und vermutlich hat der Angreifer sich eine eigene Bootumgebung schaffen wollen, nur der Bootvorgang selbst hat nicht geklappt ... Dabei hat er wohl tief in das Partitionsschema eingegriffen und kaputt gemacht.

Dennoch Danke für die Antwort :-)

User avatar
Fiona
Posts: 2835
Joined: 18 Feb 2012, 17:19
Location: Ludwigsburg/Stuttgart - Germany

Re: Nach Server Crash: Partitionstabelle durcheinander (ext3

#4 Post by Fiona »

Für eine direkte Wiederherstellung von Partitionen mit Daten benötigst du entweder die Platte oder besser ein Clone/Sektorkopie.
MBR besteht aus Bootloader und Signatur das der MBR gültig ist (auch MBR-Code) und aus der Partitionstabelle, kann TestDisk erstellen und schreiben.
Wenn du die Partitionen in der Partitionstabelle hast, kannst du eine Diagnoise des Superblocks machen, wie hier beschrieben;
http://www.cgsecurity.org/wiki/Sicherun ... cks_finden
In TestDisk bekommst du die Werte wenn du nicht bei Analyse, sondern bei Advanced bestätigst, deine betroffene Partition markierst und auf Superblock gehst.
Du kannst dann versuchen dein Superblock über ein fsck zu reparieren.

Viele Grüße

Fiona

Denny
Posts: 3
Joined: 03 Dec 2012, 15:49

Re: Nach Server Crash: Partitionstabelle durcheinander (ext3

#5 Post by Denny »

Hallo Fiona,

ich habe nur mit einem per dd erstellten Image gearbeitet. Da wir alle notwendigen Daten mittels testdisk auslesen konnten, ist der Server mittlerweile wieder in Betrieb und die Platte mit dem Image sicher im Schrank verwahrt.

Danke für deine Rückmeldungen.

Locked