Linux系统被入侵后如何使用lsof命令恢复被删除日志

这篇文章主要介绍“linux系统被入侵后如何使用lsof命令恢复被删除日志”，在日常操作中，相信很多人在Linux系统被入侵后如何使用lsof命令恢复被删除日志问题上存在疑惑，小编查阅了各式资料，整理出简单好用的操作方法，希望对大家解答”Linux系统被入侵后如何使用lsof命令恢复被删除日志”的疑惑有所帮助！接下来，请跟着小编一起来学习吧！

Linux系统是服务器最常见的操作系统，当然也面临着非常多的安全事件，相较windows操作系统，Linux采用了明确的访问权限控制和全面的管理工具，具有非常高的安全性和稳定性。Linux系统被入侵后，攻击者为了掩盖踪迹，经常会清除系统中的各种日志，包括WEB的access和error日志、last日志、message日志、secure日志等，给我们后期应急响应和取证分析带来了非常大的阻力。所以，恢复被清除的日志是非常重要的取证和分析环节，一下是使用lsof命令恢复日志文件的案例，适用于常见的日志恢复工作。

一、前提条件

不能关闭服务器，不能关闭相关服务或进程，如恢复apache的访问日志 /var/log/Httpd/access_log ，不能关闭或者重启服务器系统，也不能重启httpd服务。

二、实施过程

找到相关进程pid

代码如下:

[root@localhost ~]# lsof | grep access_log
httpd      1392     root    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7330   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7331   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7332   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7333   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7334   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7335   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7336   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log
httpd      7337   apache    7w      REG              253,0        0     263802 /var/log/httpd/access_log

这里我们重点关注一下第一、第二、第三、第四列，分别表示进程名、pid、用户、文件描述符，我们看到这里的文件描述符是7w，所以我们在下一步操作过程要记住这个7.

找回日志

代码如下:

[root@localhost ~]# wc -l /proc/1392/fd/7
55 /proc/1392/fd/7
[root@localhost ~]# cat /proc/1392/fd/7 > /var/log/httpd/access_log

我们先通过wc或者tail命令查看日志信息，然后再将日志重写到access_log中即可。

到此，关于“Linux系统被入侵后如何使用lsof命令恢复被删除日志”的学习就结束了，希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习，快去试试吧！若想继续学习更多相关知识，请继续关注编程网网站，小编会继续努力为大家带来更多实用的文章！