Linux系统被侵略后如何用于lsof命令完全恢复被移除日志Linux系统是服务器最少见的操作系统,当然也面对着十分多的安全事件,相比Windows操作系统,Linux使用了具体的采访权限掌控和全面的管理工具,具备十分低的安全性和稳定性。Linux系统被侵略后,攻击者为了掩饰踪迹,常常不会清理系统中的各种日志,还包括Web的access和error日志、last日志、message日志、secure日志等,给我们后期应急号召和核查分析带给了十分大的阻力。所以,完全恢复被清理的日志是十分最重要的核查和分析环节,一下是用于lsof命令完全恢复日志文件的案例,限于于少见的日志完全恢复工作。
1/7一、前提条件 无法重开服务器,无法重开涉及服务或进程,如完全恢复apache的采访日志/var/log/httpd/access_log,无法重开或者重新启动服务器系统,也无法重新启动httpd服务。二、实行过程1.寻找涉及进程pid2/7代码如下:[root@localhost~]#lsof|grepaccess_loghttpd1392root7wREG253,00263802/var/log/httpd/access_loghttpd7330apache7wREG253,00263802/var/log/httpd/access_loghttpd7331apache7wREG253,00263802/var/log/httpd/access_log3/7httpd7332apache7wREG253,00263802/var/log/httpd/access_loghttpd7333apache7wREG253,00263802/var/log/httpd/access_loghttpd7334apache7wREG253,00263802/var/log/httpd/access_log4/7httpd7335apache7wREG253,00263802/var/log/httpd/access_loghttpd7336apache7wREG253,00263802/var/log/httpd/access_loghttpd7337apache7wREG253,00263802/var/log/httpd/access_log5/7这里我们重点注目一下第一、第二、第三、第四佩,分别回应进程名、pid、用户、文件描述符,我们看见这里的文件描述符是7w,所以我们在下一步操作过程要忘记这个7.6/72.寻回日志代码如下:[root@localhost~]#wc-l/proc/1392/fd/755/proc/1392/fd/7[root@localhost~]#cat/proc/1392/fd/7/var/log/httpd/access_log我们再行通过wc或者tail命令查阅日志信息,然后再行将日志改写到access_log中才可。
7/7三、总结在Linux系统的/proc分区下留存着进程的目录和名字,包括fd(文件描述符)和其下的子目录(进程关上文件的链接),那么如果移除了一个文件,还不存在一个inode的提到:/proc/进程号/fd/文件描述符。我们只要告诉当前关上文件的进程pid和文件描述符fd就能利用lsof工具所列进程关上的文件。通过lsof我们就可以展开非常简单的文件完全恢复工作,当然这里不局限于日志文件,只要是不存在提到的文件。
本文来源:开云(中国)Kaiyun-www.kelkcn.com
Copyright © 2004-2024 www.kelkcn.com. 开云(中国)Kaiyun科技 版权所有备案号:ICP备85767412号-1网站地图