Linux 使用lsof恢复删除的文件（转）

最新推荐文章于 2024-10-31 13:48:35 发布

weixin_30776863

最新推荐文章于 2024-10-31 13:48:35 发布

阅读量91

点赞数

文章标签：测试运维操作系统

原文链接：http://www.cnblogs.com/hojor/p/3310217.html

版权

恢复删除的文件51Testing软件测试网YL6bA9f

#w5Kp%v*T0当 UNIX 计算机受到入侵时，常见的情况是日志文件被删除，以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件，比如在清理旧日志时，意外地删除了数据库的活动事务日志。有时可以恢复这些文件，并且lsof可以为您提供帮助。51Testing软件测试网7K`U.xazH]

1l yY.qd;By*F#x0当进程打开了某个文件时，只要该进程保持打开该文件，即使将其删除，它依然存在于磁盘中。这意味着，进程并不知道文件已经被删除，它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外，这个文件是不可见的，因为已经删除了其相应的目录条目。

8do9k%RA8a0

"d u;s` r%o"b5r3P0前面曾在转到 /proc 目录部分中说过，通过在适当的目录中进行查找，您可以访问进程的文件描述符。在随后的内容中，您看到了lsof可以显示进程的文件描述符和相关的文件名。您能明白我的意思吗？

-M[J"o(yLf&L051Testing软件测试网X$N c&`EJ

但愿它真的这么简单！当您向lsof传递文件名时，比如在lsof /file/I/deleted中，它首先使用stat()系统调用获得有关该文件的信息，不幸的是，这个文件已经被删除。在不同的操作系统中，lsof可能可以从核心内存中捕获该文件的名称。清单 5显示了一个 Linux 系统，其中意外地删除了 Apache 日志，我正使用grep工具查找是否有人打开了该文件。

8T\9|2`+Ep1`0 0c-wtO"}Vp;u_HZ,f0清单 5. 在 Linux 中使用 lsof 查找删除的文件 { ut2Wwq*Z4n0

# lsof | grep error_log51Testing软件测试网%M5`X.cA!Z? 
httpd      2452     root    2w      REG       33,2      499    3090660 
4Z/r#D.Z
vEX$g0/var/log/httpd/error_log (deleted)
O	l#k{,B5|j6N_D0httpd      2452     root    7w      REG       33,2      499    309066051Testing软件测试网t!bu0mPV!c^5x 
/var/log/httpd/error_log (deleted) 
x8d,WnL4u0... more httpd processes ... 
xy1eO)f0

8}Dr V"[7IV0

6E5Zy&R"~]h?1Ok9D{0在这个示例中，您可以看到 PID 2452 打开文件的文件描述符为 2（标准错误）和 7。因此，可以在 /proc/2452/fd/7 中查看相应的信息，如清单 6所示。51Testing软件测试网` Y`G-e7v9D5V

51Testing软件测试网l Y3rw1_(};j#U? 清单 6. 通过 /proc 查找删除的文件51Testing软件测试网a:N^"F5F.Q0Clf#r

# cat /proc/2452/fd/7 
"j!|-cW;x:Mu0

[Sun Apr 30 04:02:48 2006] [notice] Digest: generating secret for digest authentication51Testing软件测试网4YX$K;giG6e/bD 
[Sun Apr 30 04:02:48 2006] [notice] Digest: done51Testing软件测试网gD:MTKSA'~0r 
[Sun Apr 30 04:02:48 2006] [notice] LDAP: Built with OpenLDAP LDAP SDK J	W:y
|GlY|0

},b'Bou3_gc ]J0

)CJc3g]6P\d0Linux 的优点在于，它保存了文件的名称，甚至可以告诉我们它已经被删除。在遭到破坏的系统中查找相关内容时，这是非常有用的内容，因为攻击者通常会删除日志以隐藏他们的踪迹。Solaris 并不提供这些信息。然而，我们知道httpd守护进程使用了 error_log 文件，所以可以使用ps命令找到这个 PID，然后可以查看这个守护进程打开的所有文件。51Testing软件测试网AS!`h)tY

/L j1[/[b@PKK)n0清单 7. 在 Solaris 中查找删除的文件51Testing软件测试网nRCu[]O*E{1w

# lsof -a -p 8663 -d ^txt 
!d)u:t%o4lRd0COMMAND  PID   USER   FD   TYPE        DEVICE SIZE/OFF    NODE NAME51Testing软件测试网sc}HNAy9K^;Fz 
httpd   8663 nobody  cwd   VDIR         136,8     1024       2 / 
4u$l{Y%sx*APo0httpd   8663 nobody    0r  VCHR          13,2          6815752 /devices/pseudo/mm@0:null 
+PJ"_[$f0httpd   8663 nobody    1w  VCHR          13,2          6815752 /devices/pseudo/mm@0:null ad]1hEdOG0
httpd   8663 nobody    2w  VREG         136,8      185  145465 / (/dev/dsk/c0t0d0s0)51Testing软件测试网/V}T`6f*u#o 
httpd   8663 nobody    4r  DOOR                    0t0      58 /var/run/name_service_door
#h0[:@k(d*[2C0

(door to nscd[81]) (FA:->0x30002b156c0) 
%_1H-l
{ B{
S3d*I0httpd   8663 nobody   15w  VREG         136,8      185  145465 / (/dev/dsk/c0t0d0s0) 
[V%|E8~0httpd   8663 nobody   16u  IPv4 0x300046d27c0      0t0     TCP *:80 (LISTEN)51Testing软件测试网
L:?7o,A3B7`6^b
{s 
httpd   8663 nobody   17w  VREG         136,8        0  145466 ezG0MWQ0/var/apache/logs/access_log 
#XATdM$bFo
l0httpd   8663 nobody   18w  VREG         281,3        0 9518013 /var/run (swap)51Testing软件测试网;I9CEf \'e%GsR*H

51Testing软件测试网c c B6Y(Vb8x)DX 51Testing软件测试网 wlr/Agnv

我使用-a和-d参数对输出进行筛选，以排除代码程序段，因为我知道需要查找的是哪些文件。Name列显示出，其中的两个文件（FD 2 和 15）使用磁盘名代替了文件名，并且它们的类型为VREG（常规文件）。在 Solaris 中，删除的文件将显示文件所在的磁盘的名称。通过这个线索，就可以知道该 FD 指向一个删除的文件。实际上，查看/proc/8663/fd/15就可以得到所要查找的数据。51Testing软件测试网-o.Xu*F6K

9F7J`FG3o0如果可以通过文件描述符查看相应的数据，那么您就可以使用 I/O 重定向将其复制到文件中，如cat /proc/8663/fd/15 > /tmp/error_log。此时，您可以中止该守护进程（这将删除 FD，从而删除相应的文件），将这个临时文件复制到所需的位置，然后重新启动该守护进程。

4U.?PP T%~:j"u{ wL0

_3XT-JGS}/F0对于许多应用程序，尤其是日志文件和数据库，这种恢复删除文件的方法非常有用。正如您所看到的，有些操作系统（以及不同版本的lsof）比其他的系统更容易查找相应的数据。

转自：http://www.51testing.com/?uid-116228-action-viewspace-itemid-216789

转载于:https://www.cnblogs.com/hojor/p/3310217.html