Pagina 1 di 1

Recupero dati dopo "rm -r /"

Inviato: mar 6 set 2016, 21:02
da joe
Ciao a tutti, avrei bisogno di un consiglio...
Stavo armeggiando con uno Slackbuild, ho invertito l'ordine di alcune righe e il comando molto simile a:

Codice: Seleziona tutto

rm -r $PKG/*
Si è tramutato nel nefasto seguente

Codice: Seleziona tutto

rm -r /*
Ho appurato questo da una rapida occhiata allo slackbuild: la variabile $PKG veniva definita successivamente! :cry:
Dico rapida perchè ho rimontato la partizione da slackware-live e appena ho visto il macello e che manca della roba ho smontato tutto.
Il sistema ovviamente non si avvia più. Ho notato di volata che alcune directory vi sono ancora, altre no.
Ad esempio esiste ancora "/home/joe", ma è vuota! #-o

Adesso sono discretamente nella cacca.
Qualcuno ha mica qualche consiglio ed esperienza nel campo?
Si riesce a recuperare qualcosa?
Con quali software? O anche con quali procedure.

Fortuna avevo questa live di Slackware, con cui cercare qualche informazione in rete. Maledizione, ma perchè non ho fatto un backup di sistema, perchè faccio sempre girare gli slackbuild da root.... :evil:

Niente, scusate lo sfogo, se avete qualche consiglio ben venga. E grazie in anticipo

Re: Recupero dati dopo "rm -r /"

Inviato: mer 7 set 2016, 10:44
da joe
Sto ancora scrivendo da Slackware-Live.
Mi accorgo che nella confusione ieri non avevo specificato che il filesystem della root rimossa è EXT4.
Può essere un'informazione abbastanza importante da quanto vedo esistono, senza garanzie, applicazioni che cercano nel journal del filesystem per recuperare il materiale.

Cercando in rete ad ho trovato questa pagina:
http://extundelete.sourceforge.net/

Da quanto ho letto, ho anche peggiorato la situazione tentando di vedere cosa si era salvato, perchè ho rimontato la partizione da slackware-live e ho navigato nel file system sulla directory Home, per vedere se c'era rimasto ancora qualcosa (purtroppo no!).
L'ho smontato subito e non ho effettuato scritture, ma l'operazione di montaggio potrebbe aver rotto le scatole al journal del filesystem se non ho capito male.

Da quanto leggo nella pagina sopra, la prima operazione da fare sembrerebbe una copia bit a bit della partizione "as is" smontata, su un un altra partizione:

Codice: Seleziona tutto

$ dd bs=4M if=/dev/partition of=partition.backup
Questo perchè non si sa mai... avere una copia dell'immagine della partizione (sebbene in stato compromesso) potrebbe tornare utile. La partizione in questione era di 50 GB, non è poca roba quindi l'operazione sarà molto lunga. È disposta nel HDD interno del mio PC.
Dove copiarla?
Ho due scelte:
1. HDD esterno collegato via USB. Sarà un'operazione lunghissima da fare bit a bit.
2. SSD interno collegato via SATAII. Operazione molto più rapida, ma devo prima partizionare e formattare l'SSD perchè è immacolato.

Mi confermerete la priorità di quell'operazione: meglio farsi una copia di backup prima di mettere le mani sulla partizione al fine di recupero dati usando questo o quel tool.
Dico bene?

EDIT
Penso che sceglierò il disco SSD come target del file immagine. Cosa ne dite?

Nel caso, come consigliate di partizionarlo per lo scopo? Una partizione unica e via in EXT4 dovrebbe andar bene no?
Siccome sarebbe un partizionamento provvisorio non starei a rompermi il capo con opzioni di ottimizzazione dell'SSD. Lo partiziono in un unica partizione "linux" che poi formatto in ext4, senza tanti fronzoli. Poi vi faccio la copia della partizione "rimossa" su un file immagine.
Cosa ne pensate? La formattazione del SSD senza opzioni particolari (di cui al momento non sono molto pratico) può rovinare il disco? :-k
Prima di procedere mi farebbe davvero molto comodo una vostra conferma...
Grazie in anticipo

Re: Recupero dati dopo "rm -r /"

Inviato: mer 7 set 2016, 20:15
da joe
Ecco alla fine cosa ho fatto per il momento:
1- creata partizione unica su SSD (ho usato gdisk in modo da avere GPT piuttosto che MBR) e formattata in ext4 senza particolari impostazioni tipo discard o altro.
2- copia bit a bit con dd della vecchia partizione di sistema che stava sul HDD meccanico ad un file immagine posto nel SSD. La copia consta di circa 50GB di roba.
3- ho utilizzato extundelete e etx4magic, dandogli come input il file immagine della partizione piuttosto che la partizione stessa.

Risultati
Qualcosa è stato recuperato ma è poca roba rispetto ai 50 GB di bit grezzi backuppati.

Codice: Seleziona tutto

 du -sh *
51G     201609-sdb5.backup
5,3G    RECOVERED_FILES
5,9G    after-1800-RECOVERED_FILES
13M     ext4magic-RECOVERED_FILES
Ma fatemi capire una cosa:
con i tool usati, se tutto fosse filato liscio alla perfezione, dovrei ottenere ad esempio nella directory RECOVERED_FILES l'intero file system recuperato, così com'era prima del remove lanciato intorno alle 19.00 di ieri sera?
Cioè in modo che posso poi ad esempio dare un banale:

Codice: Seleziona tutto

mount /dev/sdb5 /mnt/sdb5
cp -A  RECOVERED_FILES/* /mnt/sdb5/
Oppure il recupero è solo di alcuni files, e ad esempio, magari quelli che sono scampati alla cancellazione sono ignorati.... ?
Nessuno sa nulla in merito?

Re: Recupero dati dopo "rm -r /"

Inviato: ven 9 set 2016, 14:20
da joe
Nessuno ha mai avuto esperienze simili? magari finite con un successo nel recupero del sistema?