本文摘要：Linux系统被侵略后如何用于lsof命令完全恢复被移除日志Linux系统是服务器最少见的操作系统，当然也面对着十分多的安全事件，相比Windows操作系统，Linux使用了具体的采访权限掌控和全面的管理工具，具备十分低的安全性和稳定性。

Linux系统被侵略后如何用于lsof命令完全恢复被移除日志Linux系统是服务器最少见的操作系统，当然也面对着十分多的安全事件，相比Windows操作系统，Linux使用了具体的采访权限掌控和全面的管理工具，具备十分低的安全性和稳定性。Linux系统被侵略后，攻击者为了掩饰踪迹，常常不会清理系统中的各种日志，还包括Web的access和error日志、last日志、message日志、secure日志等，给我们后期应急号召和核查分析带给了十分大的阻力。所以，完全恢复被清理的日志是十分最重要的核查和分析环节，一下是用于lsof命令完全恢复日志文件的案例，限于于少见的日志完全恢复工作。1/7一、前提条件　　无法重开服务器，无法重开涉及服务或进程，如完全恢复apache的采访日志/var/log/httpd/access_log，无法重开或者重新启动服务器系统，也无法重新启动httpd服务。

二、实行过程1.寻找涉及进程pid2/7代码如下:[root@localhost~]#lsof|grepaccess_loghttpd1392root7wREG253,00263802/var/log/httpd/access_loghttpd7330apache7wREG253,00263802/var/log/httpd/access_loghttpd7331apache7wREG253,00263802/var/log/httpd/access_log3/7httpd7332apache7wREG253,00263802/var/log/httpd/access_loghttpd7333apache7wREG253,00263802/var/log/httpd/access_loghttpd7334apache7wREG253,00263802/var/log/httpd/access_log4/7httpd7335apache7wREG253,00263802/var/log/httpd/access_loghttpd7336apache7wREG253,00263802/var/log/httpd/access_loghttpd7337apache7wREG253,00263802/var/log/httpd/access_log5/7这里我们重点注目一下第一、第二、第三、第四佩，分别回应进程名、pid、用户、文件描述符，我们看见这里的文件描述符是7w，所以我们在下一步操作过程要忘记这个7.6/72.寻回日志代码如下:[root@localhost~]#wc-l/proc/1392/fd/755/proc/1392/fd/7[root@localhost~]#cat/proc/1392/fd/7/var/log/httpd/access_log我们再行通过wc或者tail命令查阅日志信息，然后再行将日志改写到access_log中才可。7/7三、总结在Linux系统的/proc分区下留存着进程的目录和名字，包括fd(文件描述符)和其下的子目录(进程关上文件的链接)，那么如果移除了一个文件，还不存在一个inode的提到：/proc/进程号/fd/文件描述符。我们只要告诉当前关上文件的进程pid和文件描述符fd就能利用lsof工具所列进程关上的文件。

通过lsof我们就可以展开非常简单的文件完全恢复工作，当然这里不局限于日志文件，只要是不存在提到的文件。

本文关键词：云开·棋牌官网手机版,云开·棋牌官网手机版(中国)官方网站,开云官方下载

本文来源：云开·棋牌官网手机版-www.jiapingxiang.com