時間:2017-07-04 來源:互聯網 瀏覽量:
今天給大家帶來Linux係統被入侵後日誌被刪除日誌恢複方法有哪些,Linux係統被入侵後日誌被刪除日誌如何恢複,讓您輕鬆解決問題。
Linux是服務器操作係統,在安全方麵也受到用戶的極度關注,但Linux係統難免會攻擊者被入侵,攻擊後可能會導致係統各種日誌被清除,這對我們後期維護帶來很大的麻煩,其實我們可以利用lsof命令來恢複被刪除的Linux係統日誌,下麵來看Linux係統是如何使用lsof命令恢複係統日誌文件的。
一、前提條件
不能關閉服務器,不能關閉相關服務或進程,如恢複apache的訪問日誌 /var/log/httpd/access_log ,不能關閉或者重啟服務器係統,也不能重啟httpd服務。
二、實施過程
1. 找到相關進程pid
代碼如下:
[root@localhost ~]# lsof | grep access_log
httpd 1392 root 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7330 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7331 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7332 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7333 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7334 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7335 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7336 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7337 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
這裏我們重點關注一下第一、第二、第三、第四列,分別表示進程名、pid、用戶、文件描述符,我們看到這裏的文件描述符是7w,所以我們在下一步操作過程要記住這個7.
2. 找回日誌
代碼如下:
[root@localhost ~]# wc -l /proc/1392/fd/7
55 /proc/1392/fd/7
[root@localhost ~]# cat /proc/1392/fd/7 > /var/log/httpd/access_log
我們先通過wc或者tail命令查看日誌信息,然後再將日誌重寫到access_log中即可。
三、總結
在Linux係統的/proc 分區下保存著進程的目錄和名字,包含fd(文件描述符)和其下的子目錄(進程打開文件的鏈接),那麼如果刪除了一個文件,還存在一個 inode的引用:/proc/進程號/fd/文件描述符。我們隻要知道當前打開文件的進程pid和文件描述符fd就能利用lsof工具列出進程打開的文件。通過lsof我們就可以進行簡單的文件恢複工作,當然這裏不局限於日誌文件,隻要是存在引用的文件。
可見lsof命令在Linux係統中使用也是極為重要,這種命令方法來恢複日誌文件也適合在日常誤刪日誌文件。
以上就是Linux係統被入侵後日誌被刪除日誌恢複方法有哪些,Linux係統被入侵後日誌被刪除日誌如何恢複教程,希望本文中能幫您解決問題。