Vollständiger Verlust der Daten in den User Shares

Hallo zusammen,

wahrscheinlich kennt Ihr das schon, ich bin auch einer von denen, die sich hier anmelden weil sie ein Problem haben. Mein Name ist Sebastian, bin 36 Jahre alt, ich komme aus der Nähe von Leonberg - bei Stuttgart - und bin seit ca. 15 Jahren in der IT Branche - ich hätte es also besser wissen sollen...

Mein Problem ist eigentlich ganz einfach: Es ist alles weg!

Ich betreibe ein QNAP 459 Pro II mit 2x 3TB WD Platten in einem Raid 1. Der QNap Würfel lief bzw. läuft super, keine Mucken, kein nichts.
Am letzten Samstag habe ich dann aber festgestellt dass mein auf einem Windows Rechner verknüpftes Netzlaufwerk nicht mehr verbunden werden kann. Das habe ich mir genauer angeschaut, indem ich mich auf dem NAS in der Admin Web - Oberfläche angemeldet und die FileStation geöffnet habe.
Alle (wichtigen) Unterordner, die Ordner die für UserShares freigegeben waren sind weg. Insgesamt waren das wahrscheinlich fast 1 TB an Daten. Familienbilder, Programmcode für private Projekte und sehr viele Daten die ich für mein Hobby brauche. Datensicherungen sind nur sporadisch gemacht worden, der Verlust an Daten ist immens (ich weiß, Raid ist keine Datensicherung... usw.). Ich arbeite zwischen 50 und 60 h die Woche und hab mich einfach auf das NAS verlassen. Ich weiß dass das schlecht war, mich dafür zu rügen hilft mir nicht weiter und schlecht schlafen tue ich eh schon

Das NAS selbst scheint in sehr guter Verfassung. Das RAID ist intakt und SMART meldet den Status als GUT. Im Eventlog finden sich keine Fehler oder Hinweise auf Abstürze außer dass ab letztem Mittwoch/Donnerstag das NAS meldet dass die Folder für die UserShares nicht mehr da wären und ich die Standards wiederherstellen soll.

Wenn ich in der FileStation auf die "Links" der Shares klicke dann kommt eine Meldung dass der Ordner nicht vorhanden ist. Eine versehentliche Löschung von einem Windows Rechner aus ist so gut wie ausgeschlossen, auch weil kein Rechner ein Laufwerk auf den Root des Share - Verzeichnisses gemappt hatte. Es scheint fast so zu sein als hätte das NAS einfach beschlossen die wichtigen Verzeichnisse zu löschen. Oder ein Angreifer von außen, auszuschließen ist das nicht, aber man will doch dass derjenige weiß dass er Opfer eines Angriffs geworden ist....

Ich habe das NAS schnellstmöglich runtergefahren um weitere Schreibzugriffe zu unterbinden, seither nicht mehr gestartet. Eine Platte habe ich rausgenommen und an einen Windows Rechner gehängt, dort mit Recovery Tools wie "R-Studio", "R-Linux" oder "Diskinternals - uneraser" die Platten gescannt.
Die ersten beiden haben gar nichts gefunden, der Uneraser schon. Viele Ordner mit zig tausenden von fortlaufend nummerierten Bildern z.B. die er als gelöscht erkennt.
Die könnte ich jetzt wiederherstellen, wäre aber Monate damit beschäftigt die Dateien wieder in eine ordentliche Struktur zu bekommen, bei vielen Dateien wäre eine Zuordnung wahrscheinlich gar nicht mehr möglich.
Nachdem der Uneraser gelöschte Dateien gefunden hat weiß ich zumindest

- das Daten gelöscht wurden
- das noch etwas (allerdings ungewiss wie viel) da ist
Es gibt übrigens Verzeichnisse die nicht von der Löschung betroffen sind. Es ist also nicht so dass alles gelöscht wurde. Das was da ist, ist aber eher unwichtig.

Jetzt ist es so dass ich in der Windows Welt recht fit bin, mich aber mit Linux Themen nicht so gut auskenne. Auch hat z.B. das R-Studio eine Vielzahl von Partitionen auf der Platte erkannt, die ich alle manuell durchgeschaut habe (in R-Studio, so gut es eben geht), die aber sonstwoher stammen (sogar Windows - Systempartitionen, obwohl ich dort nie ein Windows installiert hatte)! Auch lief dort mal ein Apple TimeMachine Backup das scheinbar solche Partitionen erzeugt.

Mir fällt es sehr schwer zu glauben dass ein Profi Gerät wie ein QNap auf einmal und von sich aus hunderte Gigabyte ohne Fehlermeldung löscht. Ich komme da einfach nicht mit.
Kennt einer von euch solch ein Verhalten?
Was könnte da passiert sein und was ist zu tun?
Ich bin (natürlich) willens Zeit und Geld zu investieren um meine Daten, oder zumindest einen Teil davon wiederherzustellen.

Gruß und vielen Dank im Voraus an alle die sich Zeit nehmen das hier überhaupt zu lesen

Sebastian

P.S. ich habe sicher etwas vergessen, bei Fragen bitte fragen

Edit: Ich weiß um das Problem der verloren gehenden Shares, die man nur wieder mit dem richtigen Verzeichnis verknüpfen muss, das ist aber nicht mein Problem. Die eigentlichen Shares sind da, die Ordner aber sind weg.

Hi,

ja, na klar, sorry:

- RAID 1
- aktuell läuft 4.1.4. Das habe ich aber erst nach dem Desaster Fall in der Panik installiert. Davor lief sehr wahrscheinlich 4.1.3
- Western Digital WD30EZRX Green 3TB

Gruß
Sebastian

Du meinst Einträge die auf Fehler hinweisen?

Nein, ich konnte keine finden, jedenfalls keine vor dem eigentlichen Fehlerfall. Im Oktober 2014 gab es wohl mal einen Absturz, danach kam die Meldung "File System not clean..." dann sehr lange nur die Meldungen für Start und herunterfahren (täglich!)

Dann auf einmal die Meldung:
"Default Network Shared (Public, USB, Web, Download) do not exist. Restore Default Network shared or Format your disk volume".

Daneben noch eine Meldung die das Gleiche aussagt, aber ein wenig anders formuliert ist, nämlich
"Folders (Public, USB, Web, Download) for default Network shared do not exist. Restore Default Network shared or Format your disk volume".

Das war auch die erste Meldung nachdem ich mich am Admin Portal angemeldet habe. Die Meldung trat zum ersten mal am 23. auf.

Soll ich versuchen Screenshots der Logs hier reinzubringen?
Ich habe mit dem Diagnostic Tool einen Dump von den Logs gemacht, kann damit jemand etwas anfangen?

Gruß
Sebastian

Hi,

ja, dass die Platten wohl nicht für den Einsatz in einem NAS empfohlen werden habe ich auch gelesen. Ich habe sie damals nicht gekauft, sondern das komplette Paket von meinem Arbeitgeber als Bonusleistung bekommen. Da habe ich nicht mehr nach den Spezifikationen der Platten recherchiert...

Die beiden Ansätze mit Diskinternals (nur wenn Daten noch da sind) und R-Studio habe ich schon durch, leider ohne Erfolg. R-Studio hat komischerweise nicht eine meiner gelöschten Dateien gefunden, so dass ich dachte die Datenbereiche wären alle schon wieder mit etwas anderem überschrieben worden, bis ich den Diskinternals - Unereaser habe drüber laufen lassen. Der hat wie gesagt sehr viele der gelöschten Dateien gefunden, aber nicht in der ursprünglichen Verzeichnisstruktur und nicht mit dem ursprünglichen Dateinamen.

Wenn ich mit einer HDD starte (eben gemacht) ergibt sich das gleiche Bild. Weder mehr, oder weniger Daten, natürlich die Meldung dass das RAID degraded ist.

Wenn ich die Warnungen von WD bzgl. der Festplatte richtig deute, dann sagen die aus dass die Platte Ihren Lesekopf zu oft parkt und deshalb sehr schnell verschleißt.
Ich würde ja dann noch verstehen wenn das RAID irgendwann inkonsistent geworden wäre weil sich eine Platte verabschiedet hat, meinetwegen dann auch die andere Platte sehr bald hinterher, aber dass Verzeichnisse mit hunderten von Gigabyte an Daten offensichtlich auf beiden Platten gleichzeitig und vollständig verschwinden kann eigentlich nur heißen dass der RAID Controller die Daten simultan auf beiden Platten kaputt bzw. überschrieben hat.
Ich, mit meinen beschränkten und wahrscheinlichen veralteten Hardwarekenntnissen (bin Softwareentwickler) kann es mir trotz der Warnungen von WD bzgl. der Platten kaum erklären wie das alles von statten gegangen sein soll.

Du schienst vorher nicht überrascht als ich die Festplattenbezeichnung + RAID Konfiguration erwähnt habe. Kennst Du das Problem?
Ich frage, weil ich bisher keinen Thread in irgendeinem Forum finden konnte der genau mein Fehlerbild beschreibt.
Shares verloren.. so what, halt wieder herstellen, oder Daten aus versehen gelöscht, oder bei einem RAID Rebuild alles verloren, ja, dazu gibt es viel. Aber im laufenden Betrieb ohne Fehlermeldung einfach (fast) alles zu verlieren scheint ein exklusives Vergnügen von mir zu sein?

Egal was ist und wie es ausgeht: Danke für Deine Zeit und Hilfe!

Gruß
Sebastian

--- MOD Edit---

Achja... mit WinSCP habe ich mit SSH schon auf das NAS geschaut, dort konnte ich auch nichts finden.
Allerdings kenne ich mich mit der Linux Verzeichnisstruktur auch nicht aus. In Share/MD0_DATA war jedenfalls nichts mehr.

Hi,

SMART behauptet alles wäre ok, zumindest die laufenden SMART Tests. Ich habe mich eben nur getraut den schnellen Test durchzuführen, das Ergebnis sah dann so aus. Aktuell ist nur eine Platte installiert, SMART sah aber auch mit intaktem RAID für beide Platten gut aus

Hoffe das mit den Anhängen klappt.
Beachte die WinSCP Screenshots. Der Link (so etwas in der Richtung ist das wohl) SM zeigt auf ein Verzeichnis das es einfach nicht mehr gibt.
KP (weniger wichtig) habe ich nach dem Desaster wieder angelegt, in der Hoffnung dass die Daten dann wieder da sind. War eine Verzweiflungstat.

Gruß Sebastian

Edit: sorry, etwas groß geraten die Screenshots.
Edit2: Lost&Found ist leer und der Netzwerkpapierkorb war leider nicht aktiviert. Ich denke aber dort wäre eh nichts drin gelandet, die Löschung (von wem auch immer) muss recht systemnah erfolgt sein. Wie gesagt glaube ich nicht dass ein Windows Löschvorgang das ausgelöst hat.
Edit 3: sehe ich erst jetzt. Im Verzeichnis "Multimedia" liegen Verzeichnisse mit vielen Unterverzeichnissen, die aber alle bis auf ein verstecktes Unterverzeichnis ".@__thumb" leer sind.

Hi,

es gibt die zweite Platte, die nun an meinem Windows Rechner hängt. Die wurde von verschiedenen Analysetools gelesen, da gehe ich davon aus dass die nicht auch noch auf die Platte schreiben.

Direkt nach ersichtlich werden des Fehlers wurden von mir ja noch Aktionen wie z.B. Neuanlage des "KP" Verzeichnisses und Firmware update durchgeführt, dann das NAS sehr bald heruntergefahren und die Platte die jetzt an meinem Windows Rechner hängt ausgebaut.
Ich denke für eine Wiederherstellung wäre das die bessere Basis?

Um direkt auf Deine Frage zu antworten: Eine Platte in dem Zustand, in dem die Daten wirklich verschwunden sind (am oder um den 23.07) gibt es wahrscheinlich nicht mehr, nein.

Das NAS mit einer Platte und schreibenden Zugriffen erneut hochgefahren habe ich vorhin auf Bitten des QNap Supports.

Gruß
Sebastian

Du hast Recht! Sieht so aus!
Mir wird schlecht. Ich schicke gleich Screenshots.

Mails.txt enthält nur das hier:

john:doe:biankakraubbia101@web.de

Ja, dem Support habe ich vorher das LOG DUMP geschickt.

Angehängt ein Screenshot von Mails.html (html über WinSCP und Zwischenablage auf meinen Rechner geholt, deshalb abc).

Mir ist wirklich übel. Ist da noch was zu retten?

Hi Christian,

muss mich erstmal sammeln, damit habe ich auch nicht gerechnet. Ich habe irgendwann am Anfang mal dieses öffentlich machen des NAS eingerichtet, diese nette Funktion bei der das NAS den Router konfiguriert (erstaunlicherweise). Das hat dann auch geklappt. Dann hat mein Schwager, der im selben Haus wohnt und das NAS noch eine Zeitlang mit genutzt hat einige Dinge nach außen - Cloud Dienste die ich aktuell noch nicht genau benennen kann - aktiviert. Die haben wir dann aber irgendwann alle aus Sicherheitsgründen deaktiviert. Dachten wir zumindest. Ich meine mich zu erinnern dass aber zumindest Telnet und SSH aktiviert war als ich am Wochenende bemerkt habe dass da etwas nicht stimmt.

Router Ausnahmen/NAT Mappings habe ich aber selbst keine eingerichtet, da bin ich mir sicher.
Der QNap Support bat mich ein Diagnosetool zu installieren (das meinte ich vorher mit schreibenden Zugriffen) und dort einen LOG DUMP zu machen und den an den Support zu schicken. Das habe ich alles brav gemacht und das 200kb große zip Paket mit jede Menge Log Dateien darin an den Support geschickt,

Gruß
Sebastian

Hi Mike,

soweit hatte ich noch gar nicht gedacht, danke => Ist vom Netz.

Bringt das denn was mit der Anzeige? Glaube kaum dass die mir bei der Datenrettung helfen, aber ob da noch jemand anderes davon profitiert?

Bin jetzt erstmal weg, werde mich ganz ernsthaft betrinken und mich morgen wieder melden.
Danke mal bis hierhin

Gruß
Sebastian

Edit: christian, ja ich warte, keine Eile

Hallo zusammen,

kurzes Update: Mittlerweile ist der Router sicher (danke Christian!!!! ) und ein Wiederherstellungstool läuft. Das hat schon ca. 400000 Dateien gesichert (alles schön ohne sprechende Namen und in einer flachen Verzeichnisstruktur, nie wieder in eine Struktur zu bringen) und läuft weiter. Wenigstens die wichtigsten Bilder und Dokumente werde ich wohl wieder finden.

Mit dem QNap Support stehe ich weiterhin in Kontakt. Morgen 16:00 Uhr will ein Supportmitarbeiter mit Teamviewer und Putty auf mein NAS schauen.

Ich werde berichten wie das ausgeht. Die wollen wahrscheinlich aber nur wissen wie der Einbruch von statten gegangen ist, viel Hoffnung meine Daten in einer ordentlichen Struktur wiederzubekommen habe ich mittlerweile nicht mehr.

Gruß

Sebastian