Linux系統被入侵后如何使用lsof命令恢復被刪除日志

Linux系統是服務器最常見的操作系統 ，當然也面臨著非常多的安全事件，相較Windows操作系統，Linux采用了明確的訪問權限控制和全面的管理工具，具有非常高的安全性和穩定性。Linux系統被入侵后，攻擊者為了掩蓋蹤跡，經常會清除系統中的各種日志，包括Web的access和error日志、last日志、message日志、secure日志等，給我們后期應急響應和取證分析帶來了非常大的阻力。所以，恢復被清除的日志是非常重要的取證和分析環節，一下是使用lsof命令恢復日志文件的案例，適用于常見的日志恢復工作。

我們提供的服務有：成都網站設計、成都網站制作、微信公眾號開發、網站優化、網站認證、興安ssl等。為上1000家企事業單位解決了網站和推廣的問題。提供周到的售前咨詢和貼心的售后服務，是有科學管理、有技術的興安網站制作公司

不能關閉服務器，不能關閉相關服務或進程，如恢復apache的訪問日志 /var/log/httpd/access_log ，不能關閉或者重啟服務器系統，也不能重啟httpd服務。

二、實施過程

1. 找到相關進程pid

[root@localhost ~]# lsof | grep access_log

httpd 1392 root 7w REG 253,0 0 263802 /var/log/httpd/access_log

httpd 7330 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log

httpd 7331 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log

httpd 7333 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log

httpd 7334 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log

httpd 7336 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log

httpd 7337 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log

2. 找回日志

代碼如下:

[root@localhost ~]# wc -l /proc/1392/fd/7

55 /proc/1392/fd/7

[root@localhost ~]# cat /proc/1392/fd/7 /var/log/httpd/access_log

我們先通過wc或者tail命令查看日志信息，然后再將日志重寫到access_log中即可。

在Linux系統的/proc 分區下保存著進程的目錄和名字，包含fd(文件描述符)和其下的子目錄(進程打開文件的鏈接)，那么如果刪除了一個文件，還存在一個 inode的引用：/proc/進程號/fd/文件描述符。我們只要知道當前打開文件的進程pid和文件描述符fd就能利用lsof工具列出進程打開的文件。通過lsof我們就可以進行簡單的文件恢復工作，當然這里不局限于日志文件，只要是存在引用的文件。

linux分幾種模式?linux 單用戶模式作用是什么?和其他那幾個模式都做什么用的?

0：關機

1：單用戶模式

2：無網絡支持的多用戶模式

3：有網絡支持的多用戶模式

4：保留，未使用

5：有網絡支持有X-Window支持的多用戶模式

6：重新引導系統，即重啟

Linux 系統處于正常狀態時，服務器主機開機（或重新啟動）后，能夠由系統引導器程序自動引導 Linux 系統啟動到多用戶模式，并提供正常的網絡服務。如果系統管理員需要進行系統維護或系統出現啟動異常時，就需要進入單用戶模式或修復模式對系統進行管理了。使用單用戶模式有一個前提，就是您的系統引導器（grub）能正常工作，否則要進行系統維護就要使用修復模式。特注：進入單用戶模式，沒有開啟網絡服務，不支持遠程連接

Linux 系統中不同的運行級別（Run Level）代表了系統的不同運行狀態，例如 Linux 服務器正常運行時處于運行級別3，是能夠提供網絡服務的多用戶模式；而運行級別 1 只允許管理員通過服務器主機的單一控制臺進行操作，即“單用戶模式”。

linux系統能做什么？

1.1 什么是Linux？

我們平時使用電腦打游戲、處理日常工作時，接觸到最多的就是Windows操作系統，電腦如果不安裝Windows系統是無法進行娛樂和工作的，所有的軟件程序都必須運行在操作系統之上，但我們大眾百姓常用的操作系統是個人版的，熟稱桌面版系統。

和Windows一樣，Linux也是一個操作系統軟件，只不過它是企業級服務器操作系統（運營于企業服務器平臺和手機移動端），Linux系統以安全、穩定、免費、高效、可自由更改源代碼著稱，這幾個優秀的特點使得Linux系統大受歡迎，未來也會越來越火！

1.2 Linux系統發展前景如何？

眾所周知，全球互聯網及移動互聯網仍在在高速發展，特別是物聯網也開始發展，所有的公司要想生存都必須和互聯網接軌（也要利用網絡提供服務和賺錢），這樣就使得整個互聯網的發展與日俱增。

而Linux系統以安全、穩定、免費、高效、可自由更改源代碼的特點占據了，1-2線城市98%以上的互聯網企業以及移動互聯網企業的系統應用。例如：百度、騰訊、阿里巴巴、淘寶網、京東商城、小米網、58同城、Sina、網易、滴滴打車、摩拜單車等都在大量使用Linux操作系統，國外的企業更是對Linux情有獨鐘，谷歌、Facebook、亞馬遜等，毫不夸張地說，只要你能隨口說出來想到的公司后臺幾乎都在使用Linux系統（包括Windows的廠商微軟公司也在親近Linux系統），我們使用的手機、平板等大多都在使用Linux系統（安卓版），蘋果系列產品也都是類Linux系統（Unix），可見Linux系統的應用之廣，可以預見未來至少是10年，Linux將是服務器端最火、應用最廣的操作系統，沒有之一，中國國家也在大力扶持Linux系統，例如江蘇3000所中小學開始普及Linux系統。

為什么老男孩老師會對Linux的未來火爆程度這么肯定呢？這是因為Linux誕生的基因決定的：

Linux系統遵循GPL協議，即保證任何人有共享和修改自由Linux的自由，任何人有權取得、修改和重新發布Linux系統的源代碼權利，但都必須同時給出具體更改的源代碼，這個許可讓全球的人都愿意為Linux貢獻力量而不被某些人和機構據為己有，你說能不火么。

1.3 什么是Linux運維？

用一句話概括就是維護Linux系統以及系統之上的相關軟件服務、程序代碼（Java、Php、Python）和企業核心數據正常運行，使得企業能夠優質、高效、快速的為企業的客戶提供服務，從而盈利賺錢，隨著企業增長，服務器和服務數量、要求也會成倍增加，對運維的能力和運維人員的數量都有更多的要求。在整個企業業務系統運轉過程中，涉及到系統、網絡、數據庫、存儲、開發、安全、監控、架構等綜合的技術于一身的技術，對運維人員的能力提出了更高的要求。

1.4企業為什么會需要Linux運維？

舉個例子，大家使用淘寶、京東購物，使用百度、谷歌搜索，看起來網站界面很簡單，實際上網站背后都是由數千到上萬臺、甚至10萬臺服務器來完成的，這也是企業為什么需要運維工程師的原因。

隨著互聯網和移動互聯網的高速發展，企業用戶數量曾幾何級數增長（多達數百萬計、千萬計，微信和QQ的用戶有近10億），企業的應用及網站規模、數據量也越來越大，需要的服務器也越來越多，軟件和程序架構也越來越復雜，例如：BAT中每家企業的服務器數量可能多達數萬臺到10萬臺，這么多的服務器、軟件運行、網站架構、程序代碼、數據安全維護都需要工程師維護，并且需求會越來越多。

1.5Linux運維崗位分類？

□硬件運維：硬件維護，如服務器、交換機、路由器、存儲、負載均衡等設備。

□網絡運維：網絡設備維護：交換機、路由器以及辦公局域網的維護。

□系統運維：基礎設施的維護，側重于系統和應用，也會涉及硬件網絡。

□應用運維(SRE)：企業業務研發環境、測試環境、線上環境等的維護和故障處理。

□監控運維：整個業務系統所有服務器集群的業務的監控和報警。

□數據庫運維: 負責數據存儲方案設計、數據庫表設計、索引設計和SQL優化

□安全運維:安全掃描、滲透測試，安全工具、安全事件應急處理等。

□運維開發：開發運維工具和運維平臺，以及自動化、智能化運維。

運維工程師還包括一些低端的崗位，例如：網絡管理員、監控運維、IDC運維，值班運維，這些崗位是沒前途的崗位，需要盡快提高改進。

摘自《老男孩Linux運維》書籍

分享標題：linux服務器安全應急 linux服務器安全與配置實驗報告
鏈接URL：http://www.yijiale78.com/article40/ddjgiho.html

成都網站建設公司_創新互聯，為您提供網站設計、ChatGPT、網站改版、微信公眾號、Google、網站收錄

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯