Linux系統被入侵后如何使用lsof命令恢復被刪除日志

這篇文章主要介紹“Linux系統被入侵后如何使用lsof命令恢復被刪除日志”，在日常操作中，相信很多人在Linux系統被入侵后如何使用lsof命令恢復被刪除日志問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”Linux系統被入侵后如何使用lsof命令恢復被刪除日志”的疑惑有所幫助！接下來，請跟著小編一起來學習吧！

Linux系統是服務器最常見的操作系統，當然也面臨著非常多的安全事件，相較Windows操作系統，Linux采用了明確的訪問權限控制和全面的管理工具，具有非常高的安全性和穩定性。Linux系統被入侵后，攻擊者為了掩蓋蹤跡，經常會清除系統中的各種日志，包括Web的access和error日志、last日志、message日志、secure日志等，給我們后期應急響應和取證分析帶來了非常大的阻力。所以，恢復被清除的日志是非常重要的取證和分析環節，一下是使用lsof命令恢復日志文件的案例，適用于常見的日志恢復工作。

一、前提條件

不能關閉服務器，不能關閉相關服務或進程，如恢復apache的訪問日志 /var/log/httpd/access_log ，不能關閉或者重啟服務器系統，也不能重啟httpd服務。

二、實施過程

1. 找到相關進程pid

代碼如下:

[root@localhost ~]# lsof | grep access_log
httpd      1392     root    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7330   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7331   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7332   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7333   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7334   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7335   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7336   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7337   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log

這里我們重點關注一下第一、第二、第三、第四列，分別表示進程名、pid、用戶、文件描述符，我們看到這里的文件描述符是7w，所以我們在下一步操作過程要記住這個7.

2. 找回日志

代碼如下:

[root@localhost ~]# wc -l /proc/1392/fd/7
55 /proc/1392/fd/7
[root@localhost ~]# cat /proc/1392/fd/7 > /var/log/httpd/access_log

我們先通過wc或者tail命令查看日志信息，然后再將日志重寫到access_log中即可。

到此，關于“Linux系統被入侵后如何使用lsof命令恢復被刪除日志”的學習就結束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習，快去試試吧！若想繼續學習更多相關知識，請繼續關注億速云網站，小編會繼續努力為大家帶來更多實用的文章！