Linux 使用lsof恢复删除的文件

msnshow · 发表于 2010-7-8 10:19:28

<A name=N10237>恢复删除的文件</A>
当 UNIX 计算机受到入侵时，常见的情况是日志文件被删除，以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件，比如在清理旧日志时，意外地删除了数据库的活动事务日志。有时可以恢复这些文件，并且 <CODE>lsof</CODE> 可以为您提供帮助。
当进程打开了某个文件时，只要该进程保持打开该文件，即使将其删除，它依然存在于磁盘中。这意味着，进程并不知道文件已经被删除，它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外，这个文件是不可见的，因为已经删除了其相应的目录条目。
前面曾在<A href="http://www.ibm.com/developerworks/cn/aix/library/au-lsof.html#diversion">转到 /proc 目录</A>部分中说过，通过在适当的目录中进行查找，您可以访问进程的文件描述符。在随后的内容中，您看到了 <CODE>lsof</CODE> 可以显示进程的文件描述符和相关的文件名。您能明白我的意思吗？
但愿它真的这么简单！当您向 <CODE>lsof</CODE> 传递文件名时，比如在 <CODE>lsof /file/I/deleted</CODE> 中，它首先使用 <CODE>stat()</CODE> 系统调用获得有关该文件的信息，不幸的是，这个文件已经被删除。在不同的操作系统中，<CODE>lsof</CODE> 可能可以从核心内存中捕获该文件的名称。<A href="http://www.ibm.com/developerworks/cn/aix/library/au-lsof.html#listing5">清单 5</A> 显示了一个 Linux 系统，其中意外地删除了 Apache 日志，我正使用 <CODE>grep</CODE> 工具查找是否有人打开了该文件。 <A name=listing5>清单 5. 在 Linux 中使用 lsof 查找删除的文件</A> 
<TABLE cellSpacing=0 cellPadding=0 width=572 border=0>
<TBODY>
<TR>
<TD class=code-outline><PRE class=displaycode># lsof | grep error_log httpd 2452 root 2w REG 33,2 499 3090660 /var/log/httpd/error_log (deleted) httpd 2452 root 7w REG 33,2 499 3090660 /var/log/httpd/error_log (deleted) ... more httpd processes ... </PRE></TD></TR></TBODY></TABLE> 
在这个示例中，您可以看到 PID 2452 打开文件的文件描述符为 2（标准错误）和 7。因此，可以在 /proc/2452/fd/7 中查看相应的信息，如<A href="http://www.ibm.com/developerworks/cn/aix/library/au-lsof.html#listing6">清单 6</A> 所示。 <A name=listing6>清单 6. 通过 /proc 查找删除的文件</A> 
<TABLE cellSpacing=0 cellPadding=0 width=572 border=0>
<TBODY>
<TR>
<TD class=code-outline><PRE class=displaycode># cat /proc/2452/fd/7 [Sun Apr 30 04:02:48 2006] [notice] Digest: generating secret for digest authentication [Sun Apr 30 04:02:48 2006] [notice] Digest: done [Sun Apr 30 04:02:48 2006] [notice] LDAP: Built with OpenLDAP LDAP SDK </PRE></TD></TR></TBODY></TABLE> 
Linux 的优点在于，它保存了文件的名称，甚至可以告诉我们它已经被删除。在遭到破坏的系统中查找相关内容时，这是非常有用的内容，因为攻击者通常会删除日志以隐藏他们的踪迹。Solaris 并不提供这些信息。然而，我们知道 <CODE>httpd</CODE> 守护进程使用了 error_log 文件，所以可以使用 <CODE>ps</CODE> 命令找到这个 PID，然后可以查看这个守护进程打开的所有文件。 <A name=listing7>清单 7. 在 Solaris 中查找删除的文件</A> 
<TABLE cellSpacing=0 cellPadding=0 width=572 border=0>
<TBODY>
<TR>
<TD class=code-outline><PRE class=displaycode># lsof -a -p 8663 -d ^txt COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME httpd 8663 nobody cwd VDIR 136,8 1024 2 / httpd 8663 nobody 0r VCHR 13,2 6815752 /devices/pseudo/mm@0:null httpd 8663 nobody 1w VCHR 13,2 6815752 /devices/pseudo/mm@0:null httpd 8663 nobody 2w VREG 136,8 185 145465 / (/dev/dsk/c0t0d0s0) httpd 8663 nobody 4r DOOR 0t0 58 /var/run/name_service_door (door to nscd[81]) (FA:->0x30002b156c0) httpd 8663 nobody 15w VREG 136,8 185 145465 / (/dev/dsk/c0t0d0s0) httpd 8663 nobody 16u IPv4 0x300046d27c0 0t0 TCP *:80 (LISTEN) httpd 8663 nobody 17w VREG 136,8 0 145466 /var/apache/logs/access_log httpd 8663 nobody 18w VREG 281,3 0 9518013 /var/run (swap) </PRE></TD></TR></TBODY></TABLE> 
我使用 <CODE>-a</CODE> 和 <CODE>-d</CODE> 参数对输出进行筛选，以排除代码程序段，因为我知道需要查找的是哪些文件。<CODE>Name</CODE> 列显示出，其中的两个文件（FD 2 和 15）使用磁盘名代替了文件名，并且它们的类型为 <CODE>VREG</CODE>（常规文件）。在 Solaris 中，删除的文件将显示文件所在的磁盘的名称。通过这个线索，就可以知道该 FD 指向一个删除的文件。实际上，查看 <CODE>/proc/8663/fd/15</CODE> 就可以得到所要查找的数据。
如果可以通过文件描述符查看相应的数据，那么您就可以使用 I/O 重定向将其复制到文件中，如 <CODE>cat /proc/8663/fd/15 > /tmp/error_log</CODE> 。此时，您可以中止该守护进程（这将删除 FD，从而删除相应的文件），将这个临时文件复制到所需的位置，然后重新启动该守护进程。
对于许多应用程序，尤其是日志文件和数据库，这种恢复删除文件的方法非常有用。正如您所看到的，有些操作系统（以及不同版本的 <CODE>lsof</CODE>）比其他的系统更容易查找相应的数据。

zllove881 · 发表于 2011-3-10 16:03:43

好东西

fengfei0210 · 发表于 2011-3-14 14:37:41

Linux系统学习中

		自动登录	找回密码
密码			(注-册)加入51Testing

[转贴] Linux 使用lsof恢复删除的文件

相关帖子

站长推荐 /1