Synology 12x6TB RAID 5 oraz QNAP 4x8TB RAID 10 po włamaniu na odzyskanie danych.
W ostatnim miesiącu niemal w jednym czasie trafiły do nas dwie macierze z kopiami zapasowymi maszyn wirtualnych ze środowisk chmurowych. W obu macierzach doszło do włamania usunięcia danych konfiguracyjnych oraz częściowego usunięcia (wyzerowania) danych użytkowników.
1. Synology RS3617RPXS 12x6TB WD60EFRX z macierzą RAID 5 po włamaniu
Klient padł ofiarą zaszyfrowania danych na jednostkach klienckich i serwerach wirtualnych, włamania na serwer NAS, usunięcia konfiguracji serwera oraz mata-danych partycji i części superbloków.
Co więcej support Synology nie był w stanie pomóc klientowi i zalecił ponowną instalację systemu DSM. Było to poważnym błędem, ponieważ nowsza wersja używała innych rozmiarów partycji systemowych w stosunku do starszej, co dodatkowo mogło wpłynąć na powodzenie procesu odzyskiwania danych.
Na serwerze były przechowywane kopie zapasowe maszyn wirtualnych tworzone za pomocą oprogramowania VEEAM Backup. Ponieważ wszystkie dane na jednostkach produkcyjnych zostały zaszyfrowane podczas ataku, serwer dostarczony do nas był ostatnim miejscem gdzie mogły być dane potrzebne do działania całej firmy.
Po otrzymaniu przesyłki z Wrocławia, od razu przystąpiliśmy do wstępnej analizy sytuacji. Potwierdziły się przypuszczenia klienta co do włamania na serwer. Ze względu na to, że na serwerze było bardzo dużo skompresowanych danych odnalezienie kolejności dysków oraz wielkości bloków stwarzało sporo problemów.
Ostatecznie po około dwóch tygodniach prac mieliśmy pierwsze pozytywne efekty, a całość macierzy udało się poskładać po kolejnym tygodniu. Przy współpracy z klientem kopie zapasowe zostały odtworzone i na szczęście okazało się, że nie są zaszyfrowane.
2. Qnap TS-431WeU macierz RAID 10, ale w realu okazało się, że to RAID 1E składała się z czterech 8TB dysków Seagate IronWolf ST8000VN0022 został dostarczony z Warszawy.
Było to jedno z najtrudniejszych zleceń, z jakim mieliśmy do czynienia od czasów DELL EQUALLOGIC –a. Poziom trudności odzyskania danych z tej macierzy komplikowało kilka spraw.
- Przede wszystkim została usunięta konfiguracja macierzy i nie wiadomo było jakiej wielkości bloki były użyte oraz jaka była kolejność dysków.
- Kolejnym problemem było to, iż wg klienta była macierz RAID 10 i tak była ona skonfigurowana, ale podczas analizy okazało się, że to RAID 1E, który trochę inaczej obsługuje bloki danych.
- Jeszcze inny kłopot wynikał z tego, że około 170GB partycji użytkowej zostało nadpisane „00”, zatem nie było superbloków i żadnego odniesienia do położenia plików.
- Największym problemem jednak było to, iż na macierzy nie było praktycznie żadnych fizycznych plików jak zdjęcia czy dokumenty a jedynie kopie zapasowe maszyn wirtualnych VEEAM Backup, które są spakowane, a same maszyny również używały kompresji danych. Tak więc znalezienie wielkości bloków oraz kolejności dysków było dość trudne.
- Ostatni już kłopot jaki napotkaliśmy to jak zwykle presja czasu, aby zrobić to zlecenie jak najszybciej się da.
Odzyskiwanie danych z macierzy Raid to zupełnie inny poziom trudności nawet gdy nie było na nią włamania. Nie da się pominąć części danych i wydać ich użytkownikowi bez struktury plików i katalogów, tak jak robi się to czasem np. w przypadku uszkodzonych pojedynczych dysków. O ile klient indywidualny posegreguje sobie zdjęcia czy dokumenty, to w przypadku takich zleceń, konieczne jest pełne odzyskanie struktury pików i katalogów, ponieważ w przeciwnym razie, nie uda się rozpakować plików kopii zapasowych. Przeważnie na macierzach jest tez bardzo dużo danych, posegregowanych w folderach i dla dużych klientów, wyciągnięcie ich bez struktury, nie jest skutecznym odzyskaniem danych.
Na szczęście dla obu klientów dane udało się odzyskać prawie w 100%, co pozwoliło na ponowne uruchomienie procesów firmowych.
Z obu zleceń można wyciągnąć kilka wniosków, które z pewnością wpłyną na poziom bezpieczeństwa danych w przyszłości. Najważniejszy z nich to "KOPIA ZAPASOWA TO TWÓJ NAJLEPSZY PRZYJACIEL". Powtarzamy to naszym klientom jak mantra, ale wielu administratorów nadal nie rozumie czym tak naprawdę jest kopia zapasowa.
Jeśli dojdzie do sytuacji utraty danych w wyniku włamania na serwer, nie zalecamy dokonywania żadnych działań czy prób naprawy prowadzonych samodzielnie lub przy pomocy wsparcia technicznego producenta. To już i tak będą skomplikowane zlecenia, a każda dodatkowa ingerencja tylko pogorszy sprawę.
