【足球競猜】Linux系統被侵略后如何用于lsof命令完全恢復被移除日志Linux系統是服務器最少見的操作系統，當然也面對著十分多的安全事件，相比Windows操作系統，Linux使用了具體的采訪權限掌控和全面的管理工具，具備十分低的安全性和穩定性。Linux系統被侵略后，攻擊者為了掩飾蹤跡，常常不會清理系統中的各種日志，還包括Web的access和error日志、last日志、message日志、secure日志等，給我們后期應急號召和核查分析帶給了十分大的阻力。所以，完全恢復被清理的日志是十分最重要的核查和分析環節，一下是用于lsof命令完全恢復日志文件的案例，限于于少見的日志完全恢復工作。

1/7一、前提條件　　無法重開服務器，無法重開涉及服務或進程，如完全恢復apache的采訪日志/var/log/httpd/access_log，無法重開或者重新啟動服務器系統，也無法重新啟動httpd服務。二、實行過程1.尋找涉及進程pid2/7代碼如下:[root@localhost~]#lsof|grepaccess_loghttpd1392root7wREG253,00263802/var/log/httpd/access_loghttpd7330apache7wREG253,00263802/var/log/httpd/access_loghttpd7331apache7wREG253,00263802/var/log/httpd/access_log3/7httpd7332apache7wREG253,00263802/var/log/httpd/access_loghttpd7333apache7wREG253,00263802/var/log/httpd/access_loghttpd7334apache7wREG253,00263802/var/log/httpd/access_log4/7httpd7335apache7wREG253,00263802/var/log/httpd/access_loghttpd7336apache7wREG253,00263802/var/log/httpd/access_loghttpd7337apache7wREG253,00263802/var/log/httpd/access_log5/7這里我們重點注目一下第一、第二、第三、第四佩，分別回應進程名、pid、用戶、文件描述符，我們看見這里的文件描述符是7w，所以我們在下一步操作過程要忘記這個7.6/72.尋回日志代碼如下:[root@localhost~]#wc-l/proc/1392/fd/755/proc/1392/fd/7[root@localhost~]#cat/proc/1392/fd/7/var/log/httpd/access_log我們再行通過wc或者tail命令查閱日志信息，然后再行將日志改寫到access_log中才可。7/7三、總結在Linux系統的/proc分區下留存著進程的目錄和名字，包括fd(文件描述符)和其下的子目錄(進程關上文件的鏈接)，那么如果移除了一個文件，還不存在一個inode的提到：/proc/進程號/fd/文件描述符。

我們只要告訴當前關上文件的進程pid和文件描述符fd就能利用lsof工具所列進程關上的文件。通過lsof我們就可以展開非常簡單的文件完全恢復工作，當然這里不局限于日志文件，只要是不存在提到的文件。。

本文來源：足球外圍網站-www.heqicl.com