Linux sunucularınızda silinen dosyaları çok kolay bir şekilde geri getirebilirsiniz, bunun için konumuzu okumaya devam edin.
Anlatacağım uygulama ile standart gelen su formatdaki dosyaları kolayca geri getirebiliyorsunuz: jpg,gif,png,bmp,avı,exe,mpg,wav,riff,wmv,mov,pdf,ole,doc,zip,rar,htm,cpp
Ancak siz farklı formatlarda ekleyerek aradığınız diğer formatdaki dosyaları bulabiliyorsunuz, örneğin sql, sh, php dosları gibi..
Videolu anlatım
Öncelikle ihtiyacımız olan programı ssh yardımı ile kuralım. root olarak giriş yapmış olamanız gerekmektedir. Aşağıdaki komut satırını çalıştırarak kuruluma onay verin:
Centos 7 için (64bit)
yum install https://forensics.cert.org/centos/cert/7/x86_64/foremost-1.5.7-13.1.el7.x86_64.rpm –y
Centos 6 için (64 bit ve 32 bit)
yum install https://forensics.cert.org/centos/cert/6/x86_64/foremost-1.5.7-13.1.el6.x86_64.rpm –yyum install https://forensics.cert.org/centos/cert/6/i386/foremost-1.5.7-13.1.el6.i686.rpm –yKurulumu tamamladıktan sonra aşağığıdaki kodu çalıştırarak disklerin yerini öğrenelim:
df -hSonrasında aşağıdaki gibi örnek bir ekran çıkacak:
[[email protected] /]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/vda1 25G 937M 25G 4% /
devtmpfs 474M 0 474M 0% /dev
tmpfs 496M 0 496M 0% /dev/shm
tmpfs 496M 13M 483M 3% /run
tmpfs 496M 0 496M 0% /sys/fs/cgroup
tmpfs 100M 0 100M 0% /run/user/0
Yukardaki çıktıyı digitalocean da oluşturduğum bir sunucuda aldım. Bu tarz cloud sunucularda ilk baştaki kısımda yer alıyor bütün home dosyaları (/dev/vda1) yani bize gereken o kısım. Ancak bazı sunucularda da aşağıdaki gibi çıktı alıyoruz:
[[email protected] ~]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/root 48G 20G 85G 20% /
devtmpfs 2.0G 0 2.0G 0% /dev
tmpfs 2.0G 0 2.0G 0% /dev/shm
/dev/sda3 1.8T 702G 955G 10% /home
Yukarıdaki çıktıda home klasöründe silinen bir klasörü aramak istiyorsak aşağıdaki satır bize lazım olacak:
/dev/sda3 1.8T 702G 955G 10% /homeBize lazım olan satırda ki şu kısım “/dev/sda3” home klasörünün olduğu birimi gösteriyor ve aşağıda vereceğim kayıp dosyaları geri getirme kodunda bu kısmı belirteceğiz.
Şimdi arama yapacağımız birimi öğrendiğimize göre, aşağıdaki kodu düzelterek çalıştırıyoruz.
foremost -v -T -c /etc/foremost.conf –i /dev/sda3 –o /root/geri_gelenlerYukarıdaki kodu çalıştırdığınızda sunucunuzda daha önce silinmiş standart dosya türlerini geri getirecektir:
jpg,gif,png,bmp,avi,exe,mpg,wav,riff,wmv,mov,pdf,ole,doc,zip,rar,htm,cpp
Listede yer almayan dosya türlerinide ekleyebilirsiniz bunun için /etc/foremost.conf yolundaki ayar dosyasını düzenlemeniz gerekli. Bu dosyayı ellemediğiniz zaman standart olarak belirlenen bütün dosya türlerini arayıp bulacaktır, ancak dosyadaki belirli alanları açarsanız (basındaki # işaretini kaldırmak yetiyor) o zamanda sadece orda belirlediğiniz dosya türlerini arayıp bulacaktır.
İsterseniz örnek listede olmayan sql dosya formatını ayar dosyasına ekleyerek, daha önce sunucudan sildiğimiz sql formatındaki dosyaları aratıp bulalım.
Ayar dosyasını açın (/etc/foremost.conf) ve en alta bunu ekleyin:
sql n 5000000000000000000 --\sMySQL\sdump --\sDump\scompletedKaydedip yukarıdaki kodu tekrar çalıştırın, yani bunu:
foremost -v -T -c /etc/foremost.conf –i /dev/sda3 –o /root/geri_gelenlerroot klasörüne baktığınızda yeni bir klasör göreceksiniz, daha önce silinen ve bulmak istediğiniz dosyalar o klasörün içerisinde olacak.
NOT: Bu işlem bazen net sonuç vermeyebilir, dosyayı sildikten hemen sonra yaparsanız bu geri getirme işini %99 işlem başarılı olacaktır, ancak sunucuda çok fazla dosya işlemleri yapılmışsa aradığınız dosyanın olduğu sektöre farklı kodlar yazılmış olabilir, buda geri getireceğiniz dosyanızın bozulmuş olma ihtimalini güçlendirecektir. Yinede buna rahmen çok sağlıklı sonuçlar alabilmekteyiz.
