在遭到攻击后被删除/var/log/messages后恢复

最新推荐文章于 2024-01-22 11:02:15 发布
最新推荐文章于 2024-01-22 11:02:15 发布
阅读量2.9k 收藏
点赞数
分类专栏: linux 文章标签: linux编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bestlanzi/article/details/46733217
版权

linux是一个以文件为基础的操作系统,当主机被入侵,hack一定会把日志文件删除,但是极少有黑客会把你的主机关机。恢复/var/log/messages就很重要了。由于linux需要不停的记录日志,所以守护进程已将/var/log/messages加载到了内存。我们通过查看内存就能恢复该文件。以下是步骤。
1、查看/var/log/messages
[root@bogon ~]# ll /var/log/messages
-rw——-. 1 root root 3705 Jul 2 07:46 /var/log/messages

lsof命令是一个查看所有打开文件的命令,这里查看到了该文件
[root@bogon ~]# lsof | grep /var/log/messages
rsyslogd 1683 root 1w REG 8,2 3705 133861 /var/log/messages
这里列出了进程好为1683的进程rsyslogd在内存中使用该文件

2、将/var/log/messages删除
[root@bogon ~]# rm /var/log/messages
rm: remove regular file `/var/log/messages’? y
[root@bogon ~]# ll /var/log/messages
ls: cannot access /var/log/messages: No such file or directory
[root@bogon ~]#
**[root@bogon ~]# lsof | grep messages
rsyslogd 1683 root 1w REG 8,2 5085 133861 /var/log/messages (deleted)**
这里我们看到了该文件已经被标志已经删除。

3、其实该文件还没有被删除,在/proc中还存有副本,通过此可以找回。
[root@bogon fd]# ll
total 0
lrwx——. 1 root root 64 Jul 2 07:58 0 -> socket:[12351]
l-wx——. 1 root root 64 Jul 2 07:58 1 -> /var/log/messages (deleted)
l-wx——. 1 root root 64 Jul 2 07:58 2 -> /var/log/cron
lr-x——. 1 root root 64 Jul 2 07:58 3 -> /proc/kmsg
l-wx——. 1 root root 64 Jul 2 07:58 4 -> /var/log/maillog
l-wx——. 1 root root 64 Jul 2 07:58 5 -> /var/log/secure

通过重定向/proc/1683/fd/1 即可恢复文件

4、恢复文件
]#
[root@bogon fd]# cat /proc/1683/fd/1 > /var/log/messages
此时文件恢复完成

bestlanzi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Rsyslog系统日志管理
anjinzong3965的博客
06-14 636
目录 Rsyslog系统日志管理 一、常见的系统日志 二、日志管理程序 三、日志级别 四、日志配置 五、远程日志管理 六、日志轮转 Rsyslog系统日志管理 课程目标 了解日志的级别与作用...
/var/log/messages日志分析
u011065164的博客
07-12 2万+
messages 日志是核心系统日志文件。它包含了系统启动时的引导消息,以及系统运行时的其他状态消息。IO 错误、网络错误和其他系统错误都会记录到这个文件中。其他信息,比如某个人的身份切换为 root,也在这里列出。如果服务正在运行,比如 DHCP 服务器,您可以在 messages 文件中观察它的活动。通常,/var/log/messages 是您在做故障诊断时首先要查看的文件。
linux lsof命令详解
09-25 142
1.lsof命令:根据进程pid查端口: lsof -i | grep pid 其中,java表示项目运行类型,22636表示进程号,rssp表示用户名,10150为TOMCAT_HTTP_PORT端口号,10153为TOMCAT_HTTPS_PORT端口号,10152为TOMCAT_SHUTDOWN_PORT端口号,10154为TOMCAT_AJP_PORT端口号, ...
Linux日志分析
Mo_nor的博客
07-06 1801
var/log/messages 这个日志文件包含了所有系统以及服务,包括第三方(必须要配置在systemd的文件里面,有他的运行配置文件);主要是针对第三方服务,不是系统自带的,由程序员自定义的软件或者第三方开放的一些软件,运行系统上,一些日志文件是第三方自带的,不需要人工配置,服务本身没有记录日志的功能,需要人工配置日志文件。因为这些第三方服务,配置在系统服务的目录中,所以能将(开、关、重启这些操作记录)记录在系统日志中;messages,里面包含的第三方服务,只有运行日志,不包括业务访问日志;
linux日志
weixin_43135696的博客
07-10 424
一些数据库如MySQL则在/var/lib下,用户未读的邮件的默认存放地点为/var/spool/mail。
应急响应排查Linux中的secure和message日志如何排查
最新发布
weixin_46356409的博客
01-22 1770
在Linux系统中,/var/log/secure 和 /var/log/messages 是两个非常重要的日志文件,用于记录系统和安全相关的事件。如果你正在进行应急响应或排查潜在的安全问题,这两个日志文件是很好的起点。
/var/log/pacct文件导致MySQL启动失败的案例分享
09-10
在本文中,我们将深入探讨一个不寻常的问题,即 `/var/log/pacct` 文件导致 MySQL 服务启动失败的情况。这个问题可能让许多系统管理员感到困惑,因为MySQL通常不会因为系统日志文件过大而受到影响。然而,实际情况...
Ubuntu系统日志配置 /var/log/messages的方法
09-14
在传统的Linux系统中,日志信息通常被记录在`/var/log/messages`文件中,但在Ubuntu这样的Debian衍生系统中,日志管理已经由rsyslog服务接管,因此配置方式有所不同。本文将详细介绍如何在Ubuntu系统中配置日志,...
Linux 详解 /var/log/xferlog的各个字段解析
09-15
在Linux系统中,`/var/log/xferlog`文件记录了FTP(File Transfer Protocol)服务器的传输活动,主要用于审计和监控FTP服务器的数据交换情况。以下是对 `/var/log/xferlog` 文件中各个字段的详细解释: 1. **日期和...
/var/log/message 归档探究
Qinng的博客
04-11 7132
背景 由于项目要收集/var/log/messages的日志到es中,发现messages日志按天切割,但归档的时间却不一直,于是乎查了点资料探究下 介绍 /var/log/messages是由journald生成的,流程如下 systemd --> systemd-journald --> ram DB --> rsyslog -> /var/log 当 systemd ...
linux日志文件在哪个目录?
m0_49190412的博客
11-27 3734
/var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一 /var/log/secure 与安全相关的日志信息 /var/log/maillog 与邮件相关的日志信息 /var/log/cron 与定时任务相关的日志信息 /var/log/spooler 与UUCP和news设备相关的日志信息 /var/log/boot.log 守护进程启动和停止相关的日志消息 /var/log/mysqld.log MySQL服务器日志文件 ...
linux下的系统日志管理
lyy962464的博客
07-28 673
一、系统日志管理 1.rsyslog    ##此服务时用来采集系统日志的,他不产生日志,只是起到采集作用 2.rsyslog的管理 /var/log/messages                 ##服务信息日志 /var/log/secure                       ##系统登陆日志 /var/log/cron                        ...
【mysql】云服务器被攻击,数据库以及数据都被删除如何通过binlog日志恢复
李光 未来科技
11-01 2676
根据binlog 日志恢复数据
linux/unix恢复删除的文件
weixin_34026484的博客
06-05 438
当Linux计算机受到***时,常见的情况是日志文件被删除,以掩盖***者的踪迹。管理错误也可能导致意外删除重要的文件,比如在清理旧日志时,意外地删除了数据库的活动事务日志。有时可以通过lsof来恢复这些文件。当进程打开了某个文件时,只要该进程保持,打开该文件,即使将其删除,它依然存在于磁盘中。这意味着,进程并不知道文件已经被删除,它仍然可以向打开该文件时提供给它的文件描述符...
linux进程错误日志,linux 使用 syslog 服务,将出错信息输入到 “/var/log/message” 系统日志文件中去...
weixin_32933155的博客
05-01 951
通常的办法是使用 syslog 服务,将出错信息输入到 “/var/log/message” 系统日志文件中去。Syslog 是 linux 中的系统日志管理服务通过守护进程 syslog 来维护。syslog 函数说明Openlog 函数用于打开系统日志服务的一个连接;Syslog 函数用于向日志文件中写入消息,在这里可以规定消息的优先级、消息的输出格式等;Closelog 函数用于关闭系统日志...
linux文件系统与日志分析
weixin_48271370的博客
08-11 915
分析日志文件
Linux中的日志管理
weixin_46074899的博客
11-04 330
文章目录1. journald采集日志1.1 journal介绍1.2 jouralctl命令的用法1.2.1 journal命令的参数1.2.2 用journald服务永久存放日志2. rsyslog日志采集2.1 rsyslog服务介绍2.2 自定义日志采集路径2.3 日志远程同步 1. journald采集日志 1.1 journal介绍 服务名称:systemd-journald.serice 注意:在rhel8之后,有journald和rsyslog两种方式来采集日志,日志产生由程序本身产生。jo
关于/var/log/messages文件
热门推荐
晓默的Linux之路
04-14 2万+
/var 包括系统运行时要改变的数据。其中包括每个系统是特定的,即不能够与其他计算机共享的目录,如/var/log,/var/lock,/var/run。有些目录还是可以与其他系统共享,如/var/mail, /var/cache/man, /var/cache/fonts,/var/spool/news。var目录存在的目的是把usr目录在运行过程中需要更改的文件或者临时生成的文件及目录提取出来
linux /var/log/messege 清除,linux中/var/log/message出现大量的last message repeated N times
weixin_29447313的博客
05-15 1855
今天在检查服务器是发现messages日志中有很多形如last message repeated N times的提示。如下:Jun 2 19:43:46 server last message repeated 7 timesJun 2 19:44:47 server last message repeated 3 timesJun 2 19:46:17 server last message ...
> /var/log/messages/*
06-03
*/5 * * * * tar -zcvf /var/log/messages_$(date +\%Y\%m\%d\%H\%M\%S).tar.gz /var/log/messages && > /var/log/messages/* && find /var/log/ -maxdepth 1 -type f -name 'messages_*.tar.gz' | sort | head -n -...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值