在遭到攻击后被删除/var/log/messages后恢复

本文介绍了一种在Linux系统中恢复被删除的日志文件的方法。利用系统守护进程将日志文件加载到内存的特点,通过查看内存中的文件映射,即使日志文件已被删除,也能从/proc目录下找到对应的内存映射并恢复文件。
摘要由CSDN通过智能技术生成

linux是一个以文件为基础的操作系统,当主机被入侵,hack一定会把日志文件删除,但是极少有黑客会把你的主机关机。恢复/var/log/messages就很重要了。由于linux需要不停的记录日志,所以守护进程已将/var/log/messages加载到了内存。我们通过查看内存就能恢复该文件。以下是步骤。
1、查看/var/log/messages
[root@bogon ~]# ll /var/log/messages
-rw——-. 1 root root 3705 Jul 2 07:46 /var/log/messages

lsof命令是一个查看所有打开文件的命令,这里查看到了该文件
[root@bogon ~]# lsof | grep /var/log/messages
rsyslogd 1683 root 1w REG 8,2 3705 133861 /var/log/messages
这里列出了进程好为1683的进程rsyslogd在内存中使用该文件

2、将/var/log/messages删除
[root@bogon ~]# rm /var/log/messages
rm: remove regular file `/var/log/messages’? y
[root@bogon ~]# ll /var/log/messages
ls: cannot access /var/log/messages: No such file or directory
[root@bogon ~]#
**[root@bogon ~]# lsof | grep messages
rsyslogd 1683 root 1w REG 8,2 5085 133861 /var/log/messages (deleted)**
这里我们看到了该文件已经被标志已经删除。

3、其实该文件还没有被删除,在/proc中还存有副本,通过此可以找回。
[root@bogon fd]# ll
total 0
lrwx——. 1 root root 64 Jul 2 07:58 0 -> socket:[12351]
l-wx——. 1 root root 64 Jul 2 07:58 1 -> /var/log/messages (deleted)
l-wx——. 1 root root 64 Jul 2 07:58 2 -> /var/log/cron
lr-x——. 1 root root 64 Jul 2 07:58 3 -> /proc/kmsg
l-wx——. 1 root root 64 Jul 2 07:58 4 -> /var/log/maillog
l-wx——. 1 root root 64 Jul 2 07:58 5 -> /var/log/secure

通过重定向/proc/1683/fd/1 即可恢复文件

4、恢复文件
]#
[root@bogon fd]# cat /proc/1683/fd/1 > /var/log/messages
此时文件恢复完成

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值