Linux系统被入侵后使用lsof命令恢复被删除日志的
系统是服务器最常见的操作系统,当然也面临着非常多的安全事件,相较Windows操作系统,Linux采用了明确的访问权限控制和全面的管理工具,具有非常高的安全性和稳定性。Linux系统被后,攻击者为了掩盖踪迹,经常会清除系统中的各种,包括Web的access和error日志、last日志、message日志、secure日志等,给我们后期应急响应和取证分析带来了非常大的阻力。所以,被清除的日志是非常重要的取证和分析环节,一下是使用命令恢复日志文件的案例,适用于常见的日志恢复工作。
一、前提条件
不能关闭服务器,不能关闭相关服务或进程,如恢复apache的访问日志 /var/log/httpd/access_log ,不能关闭或者重启服务器系统,也不能重启httpd服务。
二、实施过程
1. 找到相关进程pid