溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

Linux系統(tǒng)被入侵后如何使用lsof命令恢復(fù)被刪除日志

發(fā)布時間:2021-09-27 13:33:29 來源:億速云 閱讀:123 作者:iii 欄目:系統(tǒng)運維

這篇文章主要介紹“Linux系統(tǒng)被入侵后如何使用lsof命令恢復(fù)被刪除日志”,在日常操作中,相信很多人在Linux系統(tǒng)被入侵后如何使用lsof命令恢復(fù)被刪除日志問題上存在疑惑,小編查閱了各式資料,整理出簡單好用的操作方法,希望對大家解答”Linux系統(tǒng)被入侵后如何使用lsof命令恢復(fù)被刪除日志”的疑惑有所幫助!接下來,請跟著小編一起來學(xué)習(xí)吧!

Linux系統(tǒng)是服務(wù)器最常見的操作系統(tǒng),當(dāng)然也面臨著非常多的安全事件,相較Windows操作系統(tǒng),Linux采用了明確的訪問權(quán)限控制和全面的管理工具,具有非常高的安全性和穩(wěn)定性。Linux系統(tǒng)被入侵后,攻擊者為了掩蓋蹤跡,經(jīng)常會清除系統(tǒng)中的各種日志,包括Web的access和error日志、last日志、message日志、secure日志等,給我們后期應(yīng)急響應(yīng)和取證分析帶來了非常大的阻力。所以,恢復(fù)被清除的日志是非常重要的取證和分析環(huán)節(jié),一下是使用lsof命令恢復(fù)日志文件的案例,適用于常見的日志恢復(fù)工作。

Linux系統(tǒng)被入侵后如何使用lsof命令恢復(fù)被刪除日志

一、前提條件

不能關(guān)閉服務(wù)器,不能關(guān)閉相關(guān)服務(wù)或進程,如恢復(fù)apache的訪問日志 /var/log/httpd/access_log ,不能關(guān)閉或者重啟服務(wù)器系統(tǒng),也不能重啟httpd服務(wù)。

二、實施過程

1. 找到相關(guān)進程pid

代碼如下:

[root@localhost ~]# lsof | grep access_log
httpd      1392     root    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7330   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7331   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7332   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7333   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7334   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7335   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7336   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7337   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log

這里我們重點關(guān)注一下第一、第二、第三、第四列,分別表示進程名、pid、用戶、文件描述符,我們看到這里的文件描述符是7w,所以我們在下一步操作過程要記住這個7.

2. 找回日志

代碼如下:

[root@localhost ~]# wc -l /proc/1392/fd/7
55 /proc/1392/fd/7
[root@localhost ~]# cat /proc/1392/fd/7 > /var/log/httpd/access_log

我們先通過wc或者tail命令查看日志信息,然后再將日志重寫到access_log中即可。

到此,關(guān)于“Linux系統(tǒng)被入侵后如何使用lsof命令恢復(fù)被刪除日志”的學(xué)習(xí)就結(jié)束了,希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學(xué)習(xí),快去試試吧!若想繼續(xù)學(xué)習(xí)更多相關(guān)知識,請繼續(xù)關(guān)注億速云網(wǎng)站,小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>

向AI問一下細節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI