Linux系統(tǒng)是服務(wù)器最常見(jiàn)的操作系統(tǒng)���,當(dāng)然也面臨著非常多的安全事件�,相較Windows操作系統(tǒng)�,Linux采用了明確的訪問(wèn)權(quán)限控制和全面的管理工具,具有非常高的安全性和穩(wěn)定性��。Linux系統(tǒng)被入侵后�����,攻擊者為了掩蓋蹤跡���,經(jīng)常會(huì)清除系統(tǒng)中的各種日志�����,包括Web的access和error日志�、last日志、message日志��、secure日志等�,給我們后期應(yīng)急響應(yīng)和取證分析帶來(lái)了非常大的阻力。所以���,恢復(fù)被清除的日志是非常重要的取證和分析環(huán)節(jié)���,一下是使用lsof命令恢復(fù)日志文件的案例,適用于常見(jiàn)的日志恢復(fù)工作��。
一����、前提條件
不能關(guān)閉服務(wù)器,不能關(guān)閉相關(guān)服務(wù)或進(jìn)程���,如恢復(fù)apache的訪問(wèn)日志 /var/log/httpd/access_log ��,不能關(guān)閉或者重啟服務(wù)器系統(tǒng)����,也不能重啟httpd服務(wù)���。
二����、實(shí)施過(guò)程
1. 找到相關(guān)進(jìn)程pid
[root@localhost ~]# lsof | grep access_log
httpd 1392 root 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7330 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7331 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7332 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7333 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7334 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7335 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7336 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
httpd 7337 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log
這里我們重點(diǎn)關(guān)注一下第一����、第二、第三�、第四列,分別表示進(jìn)程名�、pid���、用戶���、文件描述符��,我們看到這里的文件描述符是7w��,所以我們?cè)谙乱徊讲僮鬟^(guò)程要記住這個(gè)7.
2. 找回日志
[root@localhost ~]# wc -l /proc/1392/fd/7
55 /proc/1392/fd/7
[root@localhost ~]# cat /proc/1392/fd/7 > /var/log/httpd/access_log
我們先通過(guò)wc或者tail命令查看日志信息,然后再將日志重寫(xiě)到access_log中即可��。
三、總結(jié)
在Linux系統(tǒng)的/proc 分區(qū)下保存著進(jìn)程的目錄和名字���,包含fd(文件描述符)和其下的子目錄(進(jìn)程打開(kāi)文件的鏈接),那么如果刪除了一個(gè)文件���,還存在一個(gè) inode的引用:/proc/進(jìn)程號(hào)/fd/文件描述符。我們只要知道當(dāng)前打開(kāi)文件的進(jìn)程pid和文件描述符fd就能利用lsof工具列出進(jìn)程打開(kāi)的文件�����。通過(guò)lsof我們就可以進(jìn)行簡(jiǎn)單的文件恢復(fù)工作��,當(dāng)然這里不局限于日志文件����,只要是存在引用的文件。
