在Linux系統中，入侵lsof（list open files）是何溯一個(gè)非常實(shí)用的命令，它可以幫助我們在Linux系統中，入侵lsof（list open='open' files）是何溯一個(gè)非常實(shí)用的命令，它可以幫助我們查看系統中打開(kāi)的入侵文件ヾ(?■_■)ノ、目錄、何溯設備等信息，入侵當系統被入侵后，何溯日志文件可能會(huì )被刪除或篡改，入侵這時(shí)候我們可以使用lsof命令來(lái)恢復被刪除的何溯日志，本文將詳細介紹如何使用lsof命令恢復被刪除的入侵日志。

lsof命令簡(jiǎn)介

ls??of（list open file?s）是何溯一個(gè)(ge)列出當前系統打開(kāi)文件的工具，在Linux環(huán)境下，入侵任何事物都以文件的何溯形式存在，通過(guò)文件不僅僅可以訪(fǎng)問(wèn)常規數據，入侵還可以訪(fǎng)問(wèn)網(wǎng)絡(luò )連接和硬件，所以如同其名字一樣，lsof 全稱(chēng) list open='open' fil(′ω｀)es，即：列出當前系統打開(kāi)的文件。

lsof命令的基本用法

lsof [選(°o°)項] [文件名]

選項可以是以下之一：

-a：表示(shi)同時(shí)搜索所有文件系統。

-d：表示搜索指定文件描述符。

-g：表示搜索指定ヽ(′?｀)ノ進(jìn)程組ID。

-i：表示搜索指定網(wǎng)絡(luò )接口。

-n：表示不解析主機名，以數字形式顯示IP地址。??

-p：表示搜索指定進(jìn)程( ?ω?)ID。

-t(╯‵□′)╯：表示搜索指定(ding)類(lèi)型的文件。

-u：表(biao)示搜索指定用戶(hù)。

-x：表示搜索指定程序。

-c：表示搜索指定字符設備。

-b：表示搜索指定塊設備。

-??e：表示搜索指定套接字。

-f：表示搜索指定文件類(lèi)型。

-l：表示搜索指定符號鏈接。

-m：表示搜索指定內存映射。

-o：表示搜索指定文(′▽?zhuān)?件系統對象類(lèi)型。

-s：表示搜索指定文件大小。

-S：表示搜索指定文件狀態(tài)。(′?_?`)

-P：表示搜索指定命名空間。

-N：表示不???解析主機名，以數字形式顯示IP地址和端口號。

-q：表(╯°□°）╯︵ ┻━┻示靜默模式，只輸出匹配的文件描述符。

-Q：表示嚴格模式，只輸出匹配的文件描述符。

-h??：表示顯示幫助信息。

-v：表示顯示詳細輸出信息。

-z：表示關(guān)閉安全檢查，用于調試。

-Z：表示關(guān)閉SELinux安全策略，用于調試。

-F：表示根據指定的條件過(guò)濾輸出結果。

-r：表示遞歸搜索子目錄。

-R：表示遞歸搜索子目錄并顯示┐(′?｀)┌詳細信息。

-L1：表示只顯示一個(gè)匹配結果。

-L2：表示只顯示兩個(gè)匹配結果。

-L3：表示只顯示三個(gè)匹配結??果。

-L4：表示(shi)只顯示四個(gè)匹配結果。

-L5：表示只顯示五個(gè)匹配結果。

-L6：表ヽ(′▽?zhuān)?ノ示只顯示六個(gè)匹配結果。

-L7：表示只顯示七個(gè)匹配結果。

-L8：表示只顯示八個(gè)匹配結果。

-L9：表示只顯??示九個(gè)匹配結果。

-L0：表示不限制匹配結果的數量。

-T<類(lèi)型>：表示設置輸出結果的格式為指定的類(lèi)型，如txt、??csv??等。

-O<輸出格式>：表示設置輸出結果的格式為指定的格式，如csv、json等。

-W<寬度>：表示設置輸出結(jie)果的寬度為指定的值，如10、20等。

-X<擴展>：表示設置輸出結果的擴展為指定的值┐(′д｀)┌，如comma、tab等(???)。

-Y&l??t;分隔符&g(′?ω?`)t;：表示設置輸出結果的分隔符為指定的值，如逗號、制表符等。

-H<標題?行>：表示設置輸出結果的標題行為指定的值，如yes、no等。

-I<列索引>：表示設置輸出(chu)結果的列索引為指定的值，如1、2等。

-J<JSON格式>：表示設置輸出結果的JSON格式為指定的值，如pretty、compact等。

-K<鍵值對>：表示設置輸??出結果的鍵值對為指定的值，如key=value等。

-M<最大行數>：表示設置輸出結果的最大行數為指定的值，如10、20等。

-C<顏色>：表示設置輸出結果的顏色為指定的??值，如red、green等。

-A??<別名>：表示設置輸出結果的別名為指定的值，如alias1、alias2等。

-B??<過(guò)濾器>：表示設置輸出結果的過(guò)濾器為指定的值，如filter1、filter2等。

-G<分組>：表示設置輸出結果的分組為指定的??值，如group1、grou??p2等。

-N<名稱(chēng)>：表示設置輸出(??ヮ?)?*:???結果的名稱(chēng)為指定的值，(′?｀*)如name1、name2等。

-S<排序方式>：表示設置輸出結果的排序方式為指定的值，如asc、desc等。

-U<用戶(hù)名>：表示設置輸出結果??的用戶(hù)名為指定的值，如user1、user2等。

-V<版本號>：表示設置輸出結果的版本號為指定??的值，如v1.0、v2.0等。

-W<警告級別>：表示設置輸出結果的警告級別為指定的值，如warning、error等。

-a<附加參數>：表示設置附加參數為指定的值，如param1、para??m2等。

使用lsof命令恢復被刪除日志的方(╯°□°）╯︵ ┻━┻法

當系統被入侵后，日志文件可能會(huì )被刪除或篡改，這時(shí)候我們可以使用lsof命令來(lái)恢復被刪除的日志，具體方法如下：

1、我們需要找到被刪除日志文件所在的目錄，可以使用find命令來(lái)查找被刪除的文件，例如查找/var/log目錄下被刪除的文件，可以使用以下??命令：

find /var/log -type f -deleted -print | xargs lsof -n | grep deleted > deleted_logs.txt

2、我們可以使用grep命令來(lái)過(guò)濾出被刪除日志文件的信息，例如查找被刪除的syslog日志文件，可以使用以下命令：

grep 'syslog' deleted_l(′▽?zhuān)?)ogs.txt > syslog_deleted.txt

3、接下來(lái)，我們可以使用ls命令來(lái)查看被刪除日志文件的inode號，例如查看syslog_deleted.txt文件中被刪除日志文件的inode號，可以使用以下命令：

cat sysl??og_deleted.txt | grep inode | awk '{ print $9}' > inode_list.txt

4、我們可以使用i(′_ゝ`)notifywait命令來(lái)監控??被刪除日志文件所在的目錄，當有新的(de)日志文件創(chuàng )建時(shí)，我們可ヽ(′ー｀)ノ以將其恢復到原來(lái)的位置，例如監控/var/log目錄并恢復被刪除的syslog日志文件，可以使用以下命令：

while true; do?? inotifywait -e create /var/log; done | whi(???)le read path action file; do if [ -e /var/log/syslog_deleted.txt ] && grep -q "${ file}" /var/log/syslog_d(′ω｀)eleted.txt; then mv "${ path}" /var/log/syslog; fi; done & disown %1; wait %1; kill %1; wa(╬?益?)it %1; kill %1; wait %1; kill %1; wait %1; kill %1; wait %1; kill %1; wait %1; kill %1; wait %1;?? kill %1; wait %1; kill %1; wait %1; kill %1; wait %1; kill %1; wait %1; kill %1; wait %1;(╥_╥) kill %1; wait %1; kill %1; wait %1; kill %1; wait %1; kill %1; wait %1; kill %1; wait %1; kill %1; wait %1;?? kill %1; wait %1; kill %1; wait %1; kill %1; wait %1; kill %1; wait %1; kill %1; wait %1; kill %1; wait %1; kill %1; wait %1; kill %1; wait(°□°) %1; kill %1; wait %1; kill %1; wait %1; kill %1; wait %1; kill %1; wait %1??; kill %1; wait %1; kill %