L'espace de PabOu

TestDisk, le sauveur de vies humaines.

by on Jan.06, 2010, under Boulot, Informatique, Linux

Bonsoir !

C'est une histoire classique que je vais vous raconter : celle du type trop sûr de lui avant de redimensionner une partition NTFS et qui se retrouve dans le caca car il n'a pas fait de backup. Oui c'est bien de moi dont je parle. Heureusement, l'histoire se finit bien…

Un jour normal comme les autres, j'administre les serveurs. Aujourd'hui, on a un problème de taille. Une partition système (C:) d'un serveur virtuel, créée trop petite à la base, doit être agrandie. On va donc la passer de 8 Go à 24 Go.

Oh, si ce n'est que ça… Aucun problème ! gparted bien entendu. Et comme tout le monde sait, je devrais faire un backup avant… Oh et puis zut, tant pis pour le backup :-) (grand sourire innocent jusqu'au oreilles).

Tout d'abord, le serveur est un serveur virtuel sous Citrix XenServer. Sa partition C: est placée sur du LVM et miracle, il reste de la place (je pense que c'est parce qu'on a changé de disques lors de la migration de lame et qu'on savait que ceux-ci étaient un peu justes). Hop. Aucun problème, on passe le disque à 24 Go sous XenServer. Mais il reste le problème de la partition en NTFS. Celle-ci a été créée et formatée avec une taille de 8 Go seulement…

Je me suis longtemps répété qu'il fallait que je fasse un backup d'une façon ou d'une autre mais j'ai eu la flemme, me disant que tout ira bien, aucun problème, que les outils sont testés et qu'en cas d'erreur, je serai assez malin pour réparer le tout (comprendre "fouiller google pour trouver un outil qui le fera pour moi"). Et donc résultat : pas de backup. En rétrospective, je me dit que je suis pourtant plus malin que ça ! On dirait que non…

Alors je me lance dans la procédure : je redémarre le serveur sur un live-cd pour pouvoir travailler avec gparted. Il se trouve que j'ai utilisé Knoppix (dans sa version 6.2), car je sais que gparted se trouve dessus. Mais j'aurais pu utiliser une autre distro. Bref, aucun rapport et aucune pertinence.

Une fois redémarré, je lance Gparted, il trouve bien mon disque. Il trouve bien son unique partition de 8 Go et voit bien les 16 Go de libres. Alors je me lance. Je redimensionne, applique les paramètres et redémarre. C'est assez rapide.

Aucun problème, tout va bien, Windows reboote et les services se relancent, certain que tout fonctionne. Quelques minutes plus tard, n'ayant rien de mieux à faire (euh… je devrais plutôt dire : n'ayant pas envie de faire quelque chose de plus intéressant) je me dis que ce serait bien de vérifier quand même, non ? Alors hop, je me loggue en Terminal Serveur et je vois que le disque fait… 8 magnifiques et beaux Go. Quoi ? Seulement 8 ???! Hop, ni une, ni deux, j'ouvre le gestionnaire de disque et là, que vois-je ? 24 Go. Tiens, donc… une inconsistance ! Premier réflexe : chkdsk qui se termine sans aucune erreur et malheureusement sans aucune amélioration.

Et hop, je fais chauffer le navigateur et les serveurs de Google. Mots clés : gparted ntfs wrong size / old size… des trucs dans ce genre. Et effectivement, il semblerait que je ne sois pas le seul à avoir eu ce symptôme. Un des messages, le seul (premier que j'ai trouvé) à avoir une solution disait qu'il avait recommencé l'opération pour enlever un chouïa d'espace à la partition et que là Windows verrait que la partition a un problème et lancerait donc son chkdsk pour tout régler. Ok, aucun problème, je vais donc faire pareil ! Si ça marche chez lui, ça va marcher chez moi.

Mais là, c'est le drame. Après ce redimensionnement, la machine ne fonctionne plus et boote sur un BSOD UNMOUNTABLE_BOOT_VOLUME ! « Aucun problème » hein ? IMBÉCILE VA ! T'AURAIS DU LE FAIRE TON BACKUP !!!

Dans ma tête, ça fuse : J'ai fait une boulette ! Mon patron va me zigouiller !!! J'arriverai pas à récupérer cette machine. Je vais devoir tout réinstaller, ça va me prendre des heures et aucune certitude. Et puis le client va devoir réinstaller et reconfigurer ses outils, il va pas être content… surtout que ce serveur a déjà eu plein de problèmes récemment (d'où mon intervention pour essayer d'arranger les choses). Aie aie aie…

Je redémarre à nouveau sur mon live cd et relance gparted. J'essaye de modifier ma partition mais je ne peux que la ré-agrandir. En voulant appliquer ce paramètre, impossible, la partition est erronnée ! Un problème de taille de partition plus grande que le device (???). Pas moyen que l'outil répare la partition. J'essaye donc les outils de Microsoft : boot sur cd d'installation et "R" pour passer en console de récupération. Résultat : chkdsk ne veut rien savoir et ne veut même pas commencer : la partition a une erreur irrécupérable. Je me dis que je vais faire un fixmbr pour réécrire la table des partitions. Ça ne résoud rien mais je ne le sais pas et dans la foulée, je fais un fixboot. Qui me transforme le tout en FAT12….

Plus moyen de booter et d'arriver au BSOD, je tombe directement sur un NTLDR missing machin truc. C'EST DE PIRE EN PIRE !!! Je fais que des boulettes.

Un reboot sur mon livecd m'indique des trucs bizarres. gparted ne voit pas la même chose que fdisk. Dans le tas, il y a du FAT12, une partition toute petite et une grosse…Je modifie le type de la partition avec fdisk pour repasser en NTFS, mais sans grand espoir… Même constat qu'avant. Cette fois-ci, c'est sûr, j'arriverai pas à sauver ma peau de mon patron sanguinaire…

Dans un désespoir, je lance une recherche google : "linux ntfs repair"… Je tombe sur des articles qui parlent de TestDisk, dont je n'ai jamais entendu parler (je joue rarement à redimensionner/réparer des partitions). Par hasard, j'essaye sur le livecd Knoppix. Tiens, il existe ! Mais je ne suis pas convaincu de l'outil, je ne le connais pas. Je téléphone à Stéphane, je lui explique vite fait ce que je comptais faire (si testdisk ne peut rien pour moi, je vais tenter de récupérer une copie de la partition d'il y a 2 semaines sur un disque qu'on a sorti du raid car defectueux), etc…

Après cette conversation, je continue avec testdisk, tout en suivant cette page : http://www.cgsecurity.org/wiki/TestDisk_Step_By_Step

Et c'est un miracle ! Il m'a permis de supprimer les nouvelles partitions (la grosse NTFS defect, la FAT12), de récupérer la vieille partition de 8 Go et de récupérer et réinstaller le MBR de backup sur celle-ci :-) Et tout fonctionne. Aucun problème !!!

Merci TestDisk ! Grâce à toi, je ne perdrai pas tout mon sang demain en expliquant ceci au patron…

Leave a Comment more...

Un petit DDoS…

by on May.14, 2009, under Boulot, Informatique, Linux, Quelques liens

Un de nos clients, dont je tairai le nom, a essuyé une attaque de type DDoS sur son site web en serveur dédié ce soir. Nos sondes ont sonné et je suis directement intervenu. La charge du serveur était au dessus de 50 et apache ne répondait plus. Mais c'était un drôle de DDoS. Visiblement, quelqu'un est allé inscrire son site sur tous les moteurs de recherche qu'il connaissait pour réindexer celui-ci. Alors, 15 moteurs de recherche en même temps, dont certains peu scrupuleux (VoilaBOT, quelle crasse ! il est interdit dans le robot.txt et pourtant il l'ignore !), ca fait des dégâts sur un simple serveur apache sans cluster.

Tout en analysant les logs, je suis tombé sur deux UserAgent un peu différents que les autres (comprendre PAS des robots d'indexation), c'est à dire FunWebProducts et DTS Agent, qui participaient au DDoS (peut-être involontairement mais bon)… Voici des liens sur des informations sur ces spywares vicelards + technique pour les enlever :

Quelques adresses IP avec UserAgent de bots, de spywares ou simplement suspicieux :

  • 74.6.8.95 "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
  • 193.252.149.15 "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1) VoilaBot BETA 1.2 ([email protected])"
  • 216.129.119.13 "Mozilla/5.0 (Twiceler-0.9 http://www.cuil.com/twiceler/robot.html)"
  • 84.55.184.91 "WikioFeedBot 1.0 (http://www.wikio.com; 1 subscribers)"123.125.64.38 "Baiduspider+(+http://www.baidu.com/search/spider.htm)"
  • 66.249.66.11 "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
  • 66.112.55.170 "Mozilla/5.0 (compatible; MJ12bot/v1.2.4; http://www.majestic12.co.uk/bot.php?+)"
  • 72.14.199.85 "Feedfetcher-Google; (+http://www.google.com/feedfetcher.html; 1 subscribers; feed-id=5656715950013085038)"
  • 213.136.125.86 "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt; DTS Agent"
  • 196.12.233.36 "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; FunWebProducts)"
  • 64.74.98.14 "Jakarta Commons-HttpClient/3.1"
  • 72.44.45.66 "Mozilla/5.0 (compatible; TopBlogsInfo/2.0; [email protected])"
  • 193.47.80.51 "Mozilla/5.0 (compatible; Exabot/3.0; +http://www.exabot.com/go/robot)"
  • 5.55.209.172 "msnbot/1.1 (+http://search.msn.com/msnbot.htm)"
  • 65.55.106.194 "msnbot/2.0b (+http://search.msn.com/msnbot.htm)"
  • 5.55.230.232 "msnbot-media/1.1 (+http://search.msn.com/msnbot.htm)"
  • 6.235.124.17 "Mozilla/5.0 (compatible; Ask Jeeves/Teoma; +http://about.ask.com/en/docs/about/webmasters.shtml)"
Si tout ça quasi en même temps c'est pas une tentative de DDoS… Et bien mon client n'a vraiment pas eu de chance :)

Leave a Comment more...

Looking for something?

Use the form below to search the site:

Still not finding what you're looking for? Drop a comment on a post or contact us so we can take care of it!

Blogroll

A few highly recommended websites...