Linux系統(tǒng)是服務器最常見的操作系統(tǒng)��,當然也面臨著非常多的安全事件����,相較Windows操作系統(tǒng),Linux采用了明確的訪問權限控制和全面的管理工具��,具有非常高的安全性和穩(wěn)定性�。Linux系統(tǒng)被入侵后,攻擊者為了掩蓋蹤跡�,經(jīng)常會清除系統(tǒng)中的各種日志,包括Web的access和error日志、last日志��、message日志�����、secure日志等�,給我們后期應急響應和取證分析帶來了非常大的阻力。所以���,恢復被清除的日志是非常重要的取證和分析環(huán)節(jié)�����,一下是使用lsof命令恢復日志文件的案例���,適用于常見的日志恢復工作。
一���、前提條件
不能關閉服務器,不能關閉相關服務或進程���,如恢復apache的訪問日志 /var/log/httpd/access_log ���,不能關閉或者重啟服務器系統(tǒng)����,也不能重啟httpd服務��。
二�、實施過程
1. 找到相關進程pid
代碼如下:
[root@localhost ~]# lsof | grep access_log
httpd 1392 root 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7330 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7331 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7332 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7333 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7334 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7335 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7336 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7337 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
這里我們重點關注一下第一、第二���、第三���、第四列,分別表示進程名����、pid、用戶����、文件描述符,我們看到這里的文件描述符是7w���,所以我們在下一步操作過程要記住這個7.
2. 找回日志
代碼如下:
[root@localhost ~]# wc -l /proc/1392/fd/7
55 /proc/1392/fd/7
[root@localhost ~]# cat /proc/1392/fd/7 > /var/log/httpd/access_log
我們先通過wc或者tail命令查看日志信息��,然后再將日志重寫到access_log中即可��。
三���、總結
在Linux系統(tǒng)的/proc 分區(qū)下保存著進程的目錄和名字���,包含fd(文件描述符)和其下的子目錄(進程打開文件的鏈接),那么如果刪除了一個文件�,還存在一個 inode的引用:/proc/進程號/fd/文件描述符。我們只要知道當前打開文件的進程pid和文件描述符fd就能利用lsof工具列出進程打開的文件����。通過lsof我們就可以進行簡單的文件恢復工作,當然這里不局限于日志文件����,只要是存在引用的文件。
