Hilfe beim Recovern gelöschter Dateien im RAID

  • Tja, wie im Titel schon steht, ein ganz schön starkes Stück, was ich da vorhabe... Ich denke, ich brauche jetzt jemanden, der sich wirklich gut mit Linux und RAID auskennt.


    Kommen wir mal zum Sachverhalt. Ich habe 3 x 2TB Platten in einem RAID 5 Verbund im NAS. Gestern, beim Vorbereiten eines Backups ist es dann passiert. Ich habe (durch falschen Cursor-Fokus) versehntlich einen ganzen Ordner mit allerlei wichtigen Dateien (ca. 50 GB) auf dem NAS gelöscht.
    Ich habe es sofort bemerkt, aber es war schon zu spät. Die ganzen .rar Dateien ware nicht mehr sichtbar. Leider ist da nix mit Backup, Snapshot oder Netz-Papierkorb. Daten = weg.

    Ich habe das NAS sofort ausgeschaltet. Es fanden nach der Löschung auch keine weiteren Schreibvorgänge mehr statt. Ich habe jetzt schon mehrere Stunden gegoogelt und gesucht, wie ich wieder an meine gelöschten Daten komme.

    Prinzipiell dürften die Daten ja noch da sein.

    Was ich denke, was jetzt zu tun ist:
    - Das RAID 5 an einem Live-Linux mit Hilfe von "mdadm" einlesen
    - Mit Hilfe von "ext4magic" nach gelöschten Daten suchen

    Da ich aber nur über Linux-Grundkenntnisse verfüge, werde ich wohl Hilfe von einem Profi brauchen. Data-Recovery Firma will übrigens 5000 € dafür haben ;)
    Hat da jemand Ahnung von und kann mir bei meinem Problem helfen ? Oder übersehe ich hier vielleicht noch 1-2 Probleme ?

    Es handelt sich übrigens um ein QNAP TS451+



    Liebe Grüße


  • Wars ein Static Volume oder Storage Pool ? .. Static Volume kannste alle Platten clonen und mal versuchen extern zu mounten und Recovery drauf laufen lassen (gibt googlebare Guides für photorec auf qnap)


    Storage Pools, am besten kurz mal den Kreditramen bei der Bank checken ... 5000Euro sind doch bestimmt drinne. (Das mounten des LVM wird schon schwer .. dann noch Recovery? .. uiuiuiui)

  • Weil der Pool noch eine weitere Virtualisierungsschicht darstellt!

    Die alten NAS (Lecagy oder Cat-1) hatten das Raid über mdadm zusammen gebaut. Da hatte man das Volume direkt auf dem Raid.

    Bei den neueren NAS (HAL oder Cat-2) liegt noch ein LVM (Logical Volume Manager) dazwischen. Hier hast Du erst den Pool, darauf wird dann das/die Volume(s) gebaut.


    Dadurch wird das ganze wesentlich schwieriger, wenn nicht sogar unmöglich, die Daten wieder so herzustellen, wie sie waren.


    Gruss

  • Alles klar, vielen Dank für die Erklärung :) Ich glaube, ich werde mich jetzt damit abfinden müssen, dass die Daten weg sind. Weltuntergang wird es für mich wohl nicht sein.


    Liebe Grüße

  • Finde den Fehler

    siehe:

    beim Vorbereiten eines Backups ist es dann passiert

    Aber nein, alles gut. Dass ich nicht bereits vorher ein Backup hatte oder einen Snapshot etc. erstellt hatte, ist halt schon selten dämlich :)




    Bei uns auf der Arbeit hatten wir mit diesem Programm des öfteren schon gute Erfolge

    Das Problem ist, dass man erstmal direkten Zugriff auf das RAID haben muss. So über eine Netzwerkfreigabe funktionieren diese ganzen Programme leider nicht, weil ein PC über andere Protokolle (SMB, FTP) erstmal mit den NAS redet und das NAS dann erst mit den Platten. Davon abgesehen bräuchte man ein Recovery-Programm für Linux, da das NAS die Partiotionen denke ich in ext4 formatiert und nicht mit NTFS.

  • Du hast dir den Link aber schon mal durchgelesen?

    Stimmt, ext4 kann es tatsächlich. Verzeihung.
    Es scheint wohl auch ein LVM rekonstruieren zu können. Da sind dann wohl wieder die Personen, die sich damit auskennen gefragt ( FSC830 ), ob man damit tatsächlich eine Chance haben könnte.

    Aber ich glaube man kommt trotzdem nicht drumherum, die 3 Platten in einem Linux zu mounten. Oder kann ich tatsächlich die Platten an meinem Windows-Rechner anschließen und das Programm macht das nötige?


    Liebe Grüße

  • Ich würde jetzt bei mir im Geschäft so vorgehen.

    1. Mit FTK imager von Accessdata (umsonst) ein Image von allen Platten unter Verwendung eines Schreibschutzes (SW Schreibschutz für USB) mit Hilfe eines SATA auf USB Adapters erstellen.

    2. Mit oben genannter SW die Images einlesen und mal sehen was passiert. Ich hatte bisher nur static Volumes, da ging das mit Raid 5 ohne Probleme an die gespeicherten Daten zu kommen. Ein Versuchist es auf alle Fälle wert. Das Raid 5 wird normalerweise automatisch von der SW "zusammengebaut".

  • Das probiere ich jetzt direkt mal aus, danke :) Erstellt der "FTK Imager" denn einen "sektorweises" Image, also mit allen Bits und Bytes die so auf der Platte sind ? Wahrscheinlich schon, sonst hättest du es wohl nicht genannt...
    Sry, dass ich die Seite von der Software nur so überflogen habe.

  • Entweder ein dd Image oder ein e01 welches in der Forensik oft verwendet wird. Vorteil von e01 es kann komprimiert werden

  • HEUREKA, ... nach vielen Stunden des Image erstellen und in die Software einlesen konnte ich meine gelöschten Daten tatsächlich wiederherstellen.

    Die Software ist wirklich genial, hätte nicht gedacht, dass es am Ende doch so verhältnismäßig einfach ist.


    Vielen, vielen dank nochmal an cbronson für den wirklich guten Tipp und die Hilfe. Und natürlich auch vielen Dank an alle anderen, die geholfen haben.


    Liebe Grüße

  • Das wäre jetzt der richtige Zeitpunkt, da das Geschehen und die Abläufe noch frisch in Erinnerung sind, hier oder im Blog eine Schritt für Schritt Anleitung / Erklärung zu erstellen, wie Du das Problem angegangen bist und lösen konntest. Der Nächste mit dem gleichen Problem muss dann die ganze Odyssee nicht komplett durchmachen. Versehentliches löschen von Daten ohne Backup soll ja des öfteren vorkommen. ;)

  • Hallo zusammen. Tut mir Leid, dass jetzt etwas Zeit vergangen ist, jedoch hatte ich bisher nicht die Zeit, die Vorgehensweise zu erläutern. Hier kommt sie jetzt aber wie versprochen.

    Benutzte Tools:
    AccessData FTK Imager (kostenlos)

    Recovery Explorer Professional (UFS Explorer Professional Recovery)

    Schritte:
    1. Ich habe möglichst versucht, Schreibzugriffe auf dem NAS sofort zu unterbinden (Kopiervorgänge abbrechen, Offene Datein schließen und nicht speichern, Programme auf dem NAS stoppen wie Linux-Station). Danach das NAS runtergefahren und die Platten ausgebaut. Dann einzeln nacheinander mit einer Dockingstation an einen Windows-PC angeschlossen. Windows schlägt sofort vor, die Platte zu formatieren. Das unter keinen Umständen starten! Die Meldung wird ca. 6 mal erscheinen, bedingt durch mehrere Partitionen auf der Platte. Wenn man es ganz professionell machen will, kann man bevor man die Platte an den Windows-PC anschließt, einen sogenannten Write-Blocker kaufen oder installieren. Den gibt es sowohl als Hardware sowie Software Variante. Ein Hardware-Write-Blocker kostet um die 400€. Der Write-Blocker soll verhindern, dass vom Windows-PC ein Schreibzugriff auf die Platte stattfindet. Im Normalfall, wenn die Platte nicht formartiert wird, sollte jedoch trotzdem kein Schreibzugriff stattfinden. Ich übernehme trotzdem keine Garantie. Macht es auf eigene Gefahr!!! Ich habe es ohne gemacht.

    2. Ich habe mit dem FTK Imager von meinen 3 vorhandenen Platten (alle 2 TB groß) jeweils ein Image erzeugt. Hier "Physical Drive" und "E01-Format". Ein E01-Image kann man komprimieren. Eine größere Komprimierung dauert aber auch länger. Das hat bei mir für jede Platte ca. 6 Stunden gedauert bei Komprimierungsstufe 6 von 10.


    3. Mit dem Recovery Explorer Professional liest man dann einfach alle 3 Images ein und es wird automatisch, ohne dass man irgendwas besonderes machen muss, das RAID zusammengebaut, worauf man dann direkt mit seinen Dateien zugreifen kann. Auf das zusammengebaute RAID kann man dann die Funktion "Nach verlorenen Dateien scannen" starten. Hier sollte man die Suchmethode "IntelliRaw" mit anhaken, damit man eine Auflistung nach Dateiformat bekommt.


    Recovery Explorer.PNG


    Hinweise:


    Der Recovery Explorer Professional ist erstmal kostenlos und funktioniert ohne Einschränkungen. Wenn man jedoch eine wiederhergestellte Datei mit einer Größe größer als ich glaube 150kB abspeichern möchte, benötigt man eine Lizenz. Die günstigste "Consumer" Lizenz kostet hier 170€ excl. Mwst.

    Nach einiger Recherche ist mir aufgefallen, dass der Recovery Explorer Professional und der UFS Explorer Professional Recovery irgendwie ein und das selbe Produkt sind, jedoch getrennt voneinander vertrieben werden. Das eine Programm ist Braun, das andere Blau. Den Unterschied habe ich trotzdem nicht verstanden.


    Es gibt auch noch R-Studio Recovery, welches eine sehr ähnliches Produkt zu den oben genannten ist. Auch hier kann man E01-Images einlesen. Leider wird hier aber keine automatische RAID-Rekonstruktion gemacht, sondern muss das manuell machen. Das habe ich bisher leider nicht hinbekommen, soll aber angeblich funktionieren. Das Programm funktioniert ebenso erstmal ohne Einschränkungen, bis man eine wiederhergestellte Datei größer als 150kB abspeichern will. Der Preis liegt für die "Consumer" Lizenz ebenfalls bei 170€ aber inkl. Mwst.

    Ich finde, die Oberfläche von R-Studio Recovery sieht etwas "wertiger" aus, mit mehr Funktionen. Recovery Explorer Professional wirkt mehr wie eine Nachmache von R-Studio. Wer und ob hier jetzt jemand vom anderen abgeguckt hat, kann jeder für sich selbst entscheiden. Beide Programme sind ja erstmal kostenlos.



    Vielen Dank nochmal an alle, die mir geholfen haben.

    Liebe Grüße

  • 170.- Euro ist ein stolzer Preis, dafür dass es die meisten wohl nur ein einziges Mal benötigen. Da investiere ich lieber weiterhin in Datensicherung. :D

  • Tja, das ist eben der Preis, wenn man keine Datensicherung hat. ;)

    Wobei das noch relativ günstig ist, wenn man das einem professionellem Unternehmen machen lassen muss, dann zahlt man leicht ein vielfaches davon.


    Gruss