md0 aus versehen gekillt

[Janko]

Hallo Leute,

mein Nachbar stand gerade mit seinem PC bei mir in der Tür. Er hat nun seit ca. einem Jahr Linux Debian auf seinem PC.

Er hatte nun das gefühl, dass sein PC sehr langsam geworden ist. In einem Forum wurde ihm dann geraten das er doch bitte mal

"dd if=/dev/zero of=/dev/md0 bs=1G count=1 oflag=direct"

ausführen soll.
Natürlich hats ihm nun / zerlegt. Er hatte extra einen RAID6 im PC um Datenverlust eigentlich zu vermeiden. Es sind nun auch die ganzen Familienfotos und Videos weg. so ca. 6TB. Gibt es eine Möglichkeit die Daten zu retten ohne diese extrem teuren Rettungsdienste wie Ontrack?
Der PC wurde bisher noch nicht wieder gestartet.

Danke für eure Hinweise.

 

[Jesaja]

Erstmal wichtig, die Platte nicht mehr zu mounten.
Vermutlich kann z.B. Testdisk noch etwas finden, vor allem aus dem Bereich hinter dem ersten GB.
Bei aktuellen Platten kann es aber gut sein, dass im überschriebenen Bereich nichts mehr zu finden ist.

Deshalb:
1. RAID ersetzt kein Backup, denn die meisten Fehler entstehen durch Nutzer, Software, Dateisystem.
2. Menschen sind Böse. Nicht auf etwas vertrauen, was irgendwer schreibt und das blind(!) ausführen.

 

[Deleted member 11691]

2. Menschen sind Böse. Nicht auf etwas vertrauen, was irgendwer schreibt und das blind(!) ausführen.

Und schon garnicht irgendwas aus irgendwelchen Foren Copy-Pasten (Stichwort fällt mir hierzu gerade nicht ein, aber ich vermute du kennst das Problem wenn man ein HTML-<span> irgendwo in der mitte einfügt und das erstmal over 9000km aus dem Sichtbereich des Monitors schiebt, damit es ja nicht gesehen wird).

 

[GwenDragon]

Grässlich, aber was dd macht, sollte ein Linux-Admin nach einem Jahr Linux-Arbeit wissen. Wenn nicht, hilft da man weiter. Und dass mit der Befehlszeile von einem Device große Blocks mit Nullen aufs andere gedonnert werden sollte schon erkennbar sein.

Und wieso sind denn auch die Nutzerdaten weg? Ach so, /home/ hat keine extra Partition und auch auf dem Raid.

Das ist Lehrgeld, erst nachzulesen und dann zu starten.

Aber dann muss er eben von seinem Backupmedium zurück sichern.

 

[Deleted member 3190]

Moin

Die 1GB sind unwiderbringlich verloren.

Wie hat denn die alte Struktur ausgesehen?

Nur das md0 als / gemountet und dann da auch alle Daten mit drin?
Welches Dateisystem?
Partitionierung?
LVM?

Thorashh

 

[Janko]

Hallo,

ich habe nun weitere Infos von ihm bekommen. Er hatte also einen RAID10 auf 6 Platten an einem LSI Controller.
Gemountet war der Raid nach /var/daten.
Darauf befand sich ein Ext4 Dateisystem.

Bitte keine Belehrungen wegen blind ausführen. Ich habe es ihm auch schon gesagt. Derzeit ist er nur noch am Boden zerstört.

Vielen Dank für eure Hilfe!

 

[GwenDragon]

Das ist sehr traurig für ihn, da er ohne Hintergrundwissen ein Raid unter Linux betreibt.

Wenn das der NAS war: Herzliches Beileid.
Wenns der Hauptrechner war und kein Backup existiert: Warum macht er sowas?

 

[Janko]

@GwenDragon

Hilft mir nur kein Meter weiter...

 

[jens_s]

Hallo,

ideal (= sehr stark empfehlenswert) wäre vor weiteren Versuchen ein 1 zu 1 Abbild des aktuellen Zustands des Raid zu erstellen, an dem man ohne etwas am Original kaputt zu machen probieren kann.

Ext4 speichert freundlicherweise noch ein paar Kopien seines Superblocks (die grundlegenden Dateisysteminformationen) quer über die Partition verteilt. Stichwort für Google ist "ext4 superblock recover". Dabei kommt dann u.a. diese Anleitung heraus, mit der man hoffentlich den noch heilen Rest des Dateisystems wiederbeleben kann.

 

[Janko]

Hi,

ein komplettes Image hab ich schon angelegt... Meine NAS ist nun voll .

Danke für den Tipp, ich werde es heute Abend mal ausprobieren.

Wie stehen denn im allgemeinen die Chancen das die Daten nach dem ersten Gigabyte noch zu retten sind?

 

[GwenDragon]

Das kommt darauf an wo schon welche Blocks überschrieben wurden.
Ich habe bei einer 1TB-Platte wegen defekter Superblocks einmal 98% der Daten retten können, ein anderes mal war nur 25% restaurierbar, bei einer dritten Platte hatte ich viel Glück, da war nach dem Dateisystemcheck alles noch da.

 

[knoppers]

Das kann man so speziell nicht sagen, es kommt immer auf den Fall drauf an.
Wenn du Glück hast kannst du bestimmt an die 95% retten.

*edit*
Oh sorry, GwenDragon seinen Post übersehen....

 

[remote_mind]

Das erste GB ist wohl weg, wenn es mit dem Dateisystem nichts wird hilft noch PhotoRec:

http://www.cgsecurity.org/wiki/PhotoRec

 

[Joe User]

Gibt es eine Möglichkeit die Daten zu retten ohne diese extrem teuren Rettungsdienste wie Ontrack?

Für das erste Gigabyte kommt Dein Bekannter nicht an Ontrack und Co vorbei.
Für den Rest gilt: Nur wenn das Filesystem und die Superblocks dort unbeschädigt sind, dann lässt sich dieser Bereich mit gängigen Tools (fast) vollständig recovern. Andernfalls helfen auch hier nur noch Ontrack und Co.


Andere Frage: md0 deutet üblicherweise auf ein Software-RAID hin, Du schreibst aber später von einem Hardware-RAID. Was ist denn nun zutreffend? Beim Recover macht das nämlich einen nicht unerhebllichen Unterschied.

 

[elias5000]

Für das erste Gigabyte kommt Dein Bekannter nicht an Ontrack und Co vorbei.

Bei mit Nullen überschriebenen Bereichen können auch Ontrack und Co auch nichts mehr machen.

 

[Janko]

@Joe User
du hast vollkommen Recht bei dem Raid. Er hatte mal einen LSI Raid. Dieser ist aber kaputt gegangen und daher hat er dann auf Softraid gewechselt. Ich hätte es eigentlich noch wissen müssen da er die Daten bei mir damals zwischen geparkt hat.

Er hat also aktuell einen Raid10 Softraid auf 6x3 TB Platten.

Er hat am Nachmittag übrigens mit Ontrack telefoniert und die haben ihm ein Angebot zugemailt. Ich dachte ich lese nicht richtig.... für jede einzelne Platte 10€ zzgl. MwSt. pro GB. Dazu kommt dann noch eine Diagnose im Vorfeld welche auch noch mal um die 200 Pro Platte kostet. Obendrauf dann noch das Retten vom Raid. Dazu konnte man aber noch keine Preise sagen. Erst nach der Diagnose. Dafür kann man sich dann schon ein Eigenheim kaufen....

 

[traced]

Hi!
Es kommt halt wirklich immer drauf an, wie wichtig die Daten sind. Wenn das jetzt der einzige Server einer kleinen Firma ohne Backup wäre, die sonst zumachen kann, dann ist das gerechtfertigt.
Für Urlaubsbilder oder dezentrale Sicherungskopien von Filmen wird das sicher niemand bezahlen.

Wie weiter oben schon geschrieben, bitte wirklich nur auf Images der Platten rumspielen, nicht dass Du dir am Ende noch die Rettung selbst mit spielen verbaust.

Grüße

 

[Joe User]

Es muss ja auch nur eine einzelne Platte gerettet werden und nicht alle sechs, zudem würde die Rettung des ersten Gigabytes der Platte ausreichen, der Rest ist ja noch vorhanden.

Und ja, überschriebene Bereiche lassen sich durchaus wiederherstellen, solange sie nur einmal und nicht mehrfach überschrieben wurden. Kostet zwar etwas mehr als 10€/GB, ist aber immernoch bezahlbar.

Nach der Wiederherstellung kopiert man sich die gewünschten Nutzdaten auf eine neue Platte, löscht danach die alten Platten und legt sich das RAID neu an. Abschliessend kopiert man die geretteten Nutzdaten zurück aufs RAID und sorgt für ein vernünftiges Backupsystem. Fertig.


Wurde zwar schon gesagt, trotzdem nochmal:
RAID ersetzt kein Backup!

 

[elias5000]

Und ja, überschriebene Bereiche lassen sich durchaus wiederherstellen, solange sie nur einmal und nicht mehrfach überschrieben wurden. Kostet zwar etwas mehr als 10€/GB, ist aber immernoch bezahlbar

Der Forensikexperte Craig Wright [..] zusammen mit Kollegen Festplatten verschiedener Hersteller und unterschiedlichen Alters [...] überschrieben und die magnetischen Oberflächen anschließend mit einem Magnetkraftmikroskop untersucht. [...] Wenn es um ein einziges Bit geht, [...] dann kann man es [...] mit 56 Prozent Wahrscheinlichkeit korrekt rekonstruieren. Für ein Byte müsste man dann aber schon 8 Mal richtig liegen, was nur noch mit 0,97 Prozent Wahrscheinlichkeit klappt. ...

Die Studie ist von 2008. Damit man mit dem Magnetkraftmikroskop noch was finden kann, muss die Speicherstelle entsprechend groß sein, dass da Reste die alte magnetische Orientierung beibehalten können. Und die Strukturgrößen der Speicherzellen sind mit Sicherheit nicht gestiegen.

Wenn ein Byte mit <1% Wahrscheinlichkeit rekonstruierbar ist, dann kann man sich ausrechnen, wie es für 1GiB aussieht.

 

[Joe User]

Wahrscheinlichkeit != Realität

Es hat schon seine Gründe, warum in kritischen Bereichen ein mehrfaches Überschreiben mit Random und Null vor der physikalischen Zerstörung vorgeschrieben ist.