linux是一個以文件爲基礎的操作系統,當主機被入侵,hack一定會把日誌文件刪除,但是極少有黑客會把你的主機關機。恢復/var/log/messages就很重要了。由於linux需要不停的記錄日誌,所以守護進程已將/var/log/messages加載到了內存。我們通過查看內存就能恢復該文件。以下是步驟。
1、查看/var/log/messages
[root@bogon ~]# ll /var/log/messages
-rw——-. 1 root root 3705 Jul 2 07:46 /var/log/messages
lsof命令是一個查看所有打開文件的命令,這裏查看到了該文件
[root@bogon ~]# lsof | grep /var/log/messages
rsyslogd 1683 root 1w REG 8,2 3705 133861 /var/log/messages
這裏列出了進程好爲1683的進程rsyslogd在內存中使用該文件
2、將/var/log/messages刪除
[root@bogon ~]# rm /var/log/messages
rm: remove regular file `/var/log/messages’? y
[root@bogon ~]# ll /var/log/messages
ls: cannot access /var/log/messages: No such file or directory
[root@bogon ~]#
**[root@bogon ~]# lsof | grep messages
rsyslogd 1683 root 1w REG 8,2 5085 133861 /var/log/messages (deleted)**
這裏我們看到了該文件已經被標誌已經刪除。
3、其實該文件還沒有被刪除,在/proc中還存有副本,通過此可以找回。
[root@bogon fd]# ll
total 0
lrwx——. 1 root root 64 Jul 2 07:58 0 -> socket:[12351]
l-wx——. 1 root root 64 Jul 2 07:58 1 -> /var/log/messages (deleted)
l-wx——. 1 root root 64 Jul 2 07:58 2 -> /var/log/cron
lr-x——. 1 root root 64 Jul 2 07:58 3 -> /proc/kmsg
l-wx——. 1 root root 64 Jul 2 07:58 4 -> /var/log/maillog
l-wx——. 1 root root 64 Jul 2 07:58 5 -> /var/log/secure
通過重定向/proc/1683/fd/1 即可恢復文件
4、恢復文件
]#
[root@bogon fd]# cat /proc/1683/fd/1 > /var/log/messages
此時文件恢復完成