linuxlsof恢復刪除文件

⑴ linux中如何檢查開放埠

場景一：了解系統開放的埠，和正在使用的埠，在各種情況下都會有所幫助。

比如：如果你的伺服器正在運行著 Nginx，那麼其埠應該為80或者443，可以檢查一下。再比如你可以檢查一下 SMTP、SSH或者其他服務用的是哪個埠。當有新的服務需要開放埠的時候，你需要知道目前已經被佔用的，都有哪些埠。

此外，可以檢查一下是否有開放的可用於入侵檢測的埠。

Linux 中有多種檢查埠的方法，本文將介紹兩種。

使用 lsof 檢查當前系統開放的埠

不管你是直接登錄的系統，還是使用 ssh 連接的，都可以使用 lsof 命令來檢查埠：

該命令用於查找用戶使用的文件和進程。上述命令中的選項，包括：

但是，這也會展示許多計算機並沒有監聽的其他埠。

我們可以通過管道將此輸出傳輸到 grep，並匹配模式 「LISTEN」，如下所示：

這樣就只顯示計算機正在監聽的，以及正在運行的伺服器所佔用的埠。

使用 netcat 命令檢查遠程伺服器上的埠

nc(Netcat) 是一個命令行實用程序，使用TCP和UDP協議在網路計算機之間讀取和寫入數據。

以下是nc命令的語法：

這個工具有一個很實用的 -z 選項，它會讓 nc 命令掃描正在監聽的守護進程，但是不會向埠發送任何數據。

將其與 -v 選項結合，啟動詳細信息，會有詳細信息的輸出。

losf與nc的不同點：

lsof命令簡介

lsof 命令用於顯示 Linux 系統當前已打開的所有文件列表。查看進程或系統打開的文件會給調試帶來極大的幫助。下面簡單地介紹 lsof 常使用的功能。

lsof （list open files）命令用於查看你進程打開的文件，打開文件的進程，進程打開的埠(TCP、UDP),還可以用於找回/恢復被刪除的文件。lsof 命令需要訪問核心內存和各種文件，所以需要具備 root 超級管理員許可權的用戶才能執行此命令。

linux的nc命令，NetCat，在網路工具中有「瑞士軍刀」美譽「，是解決這個問題的工具。 nc命令安裝： yum install nc

以上是看來一些文章的總結分享內容，歡迎補充討論。

⑵ linux lsof命令詳解

lsof(list open files)是一個列出當前系統打開文件的工具。在linux環境下，任何事物都以文件的形式存在，通過文件不僅僅可以訪問常規數據，還可以訪問網路連接和硬體。所以如傳輸控制協議 (TCP) 和用戶數據報協議 (UDP) 套接字等，系統在後台都為該應用程序分配了一個文件描述符，無論這個文件的本質如何，該文件描述符為應用程序與基礎操作系統之間的交互提供了通用介面。因為應用程序打開文件的描述符列表提供了大量關於這個應用程序本身的信息，因此通過lsof工具能夠查看這個列表對系統監測以及排錯將是很有幫助的。

在終端下輸入lsof即可顯示系統打開的文件，因為 lsof 需要訪問核心內存和各種文件，所以必須以 root 用戶的身份運行它才能夠充分地發揮其功能。

直接輸入lsof部分輸出為:

每行顯示一個打開的文件，若不指定條件默認將顯示所有進程打開的所有文件。

lsof輸出各列信息的意義如下：

COMMAND：進程的名稱 PID：進程標識符

USER：進程所有者

FD：文件描述符，應用程序通過文件描述符識別該文件。如cwd、txt等 TYPE：文件類型，如孫培晌DIR、REG等

DEVICE：指定磁碟的名稱

SIZE：文件的大小

NODE：索引節點中大（文件在磁碟上的標識）

NAME：打開文件的確切名稱

FD 列中的文件描述符cwd 值表示應用程序的當前工作目錄，這是該應用程序啟動的目錄，除非它本身對這個目錄進行更改,txt 類型的文件是程序代碼，如應用程序二進制文件本身或共享庫，如上列表中顯示的 /sbin/init 程序。

其次數值表示應用程序的文件描述符，這是打開該文件時返回的一個整數。如上的最後一行文件/dev/initctl，其文件描述符為 10。u 表示該文件被打開並處於讀取/寫入模式，而不是只讀 或只寫 (w) 模式。同時還有大寫 的W 表示該應用程序具有對整個文件的寫鎖。該文件描述符用於確保每次只能打開一個應用程序實例。初始打開每個應用程序時，都具有三個文件描述符，從 0 到 2，分別表示標准輸入、輸出和錯誤流。所以大多數應用程序所打開的文件的 FD 都是從 3 開始。

與 FD 列相比，Type 列則比較直觀。文件和則鋒目錄分別稱為 REG 和 DIR。而CHR 和 BLK，分別表示字元和塊設備；或者 UNIX、FIFO 和 IPv4，分別表示 UNIX 域套接字、先進先出 (FIFO) 隊列和網際協議 (IP) 套接字。

lsof語法格式是： lsof ［options］ filename

查找誰在使用文件系統

在卸載文件系統時，如果該文件系統中有任何打開的文件，操作通常將會失敗。那麼通過lsof可以找出那些進程在使用當前要卸載的文件系統，如下： # lsof /GTES11/ COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME bash 4208 root cwd DIR 3,1 4096 2 /GTES11/ vim 4230 root cwd DIR 3,1 4096 2 /GTES11/ 在這個示例中，用戶root正在其/GTES11目錄中進行一些操作。一個 bash是實例正在運行，並且它當前的目錄為/GTES11，另一個則顯示的是vim正在編輯/GTES11下的文件。要成功地卸載/GTES11，應該在通知用戶以確保情況正常之後，中止這些進程。 這個示例說明了應用程序的當前工作目錄非常重要，因為它仍保持著文件資源，並且可以防止文件系統被卸載。這就是為什麼大部分守護進程（後台進程）將它們的目錄更改為根目錄、或服務特定的目錄（如 sendmail 示例中的 /var/spool/mqueue）的原因，以避免該守護進程阻止卸載不相關的文件系統。

恢復刪除的文件

當Linux計算機受到入侵時，常見的情況是日誌文件被刪除，以掩蓋攻擊者的蹤跡。管理錯誤也可能導致意外刪除重要的文件，比如在清理舊日誌時，意外地刪除了資料庫的活動事務日誌。有時可以通過lsof來恢復這些文件。 當進程打開了某個文件時，只要該進程保持打開該文件，即使將其刪除，它依然存在於磁碟中。這意味著，進程並不知道文件已經被刪除，它仍然可以向打開該文件時提供給它的文件描述符進行讀取和寫入。除了該進程之外，這個文件是不可見的，因為已經刪除了其相應的目錄索引節點。 在/proc 目錄下，其中包含了反映內核和進程樹的各種文件。/proc目錄掛載的是在內存中所映射的一塊區域，所以這些文件和目錄並不存在於磁碟中，因此當我們對這些文件進行讀取和寫入時，實際上是在從內存中獲取相關信息。大多數與 lsof 相關的信息都存儲於以進程的 PID 命名的目錄中，即 /proc/1234 中包含的是 PID 為 1234 的進程的信息。每個進程目錄中存在著各種文件，它們可以使得應用程序簡單地了解進程的內存空間、文件描述符列表、指向磁碟上的文件的符號鏈接和其他系統信息。lsof 程序使用該信息和其他關於內核內部狀態的信息來產生其輸出。所以lsof 可以顯示進程的文件描述符和相關的文件名等信息。也就是我們通過訪問進程的文件描述符可以找到該文件的相關信息。 當系統中的某個文件被意外地刪除了，只要這個時候系統中還有進程正在訪問該文件，那麼我們就可以通過lsof從/proc目錄下恢復該文件的內容。 假如由於誤操作將/var/log/messages文件刪除掉了，那麼這時要將/var/log/messages文件恢復的方法如下： 首先使用lsof來查看當前是否有進程打開/var/logmessages文件，如下： # lsof |grep /var/log/messages syslogd 1283 root 2w REG 3,3 5381017 1773647 /var/log/messages (deleted) 從上面的信息可以看到 PID 1283（syslogd）打開文件的文件描述符為 2。同時還可以看到/var/log/messages已經標記被刪除了。因此我們可以在 /proc/1283/fd/2 （fd下的每個以數字命名的文件表示進程對應的文件描述符）中查看相應的信息，如下： # head -n 10 /proc/1283/fd/2 Aug 4 13:50:15 holmes86 syslogd 1.4.1: restart. Aug 4 13:50:15 holmes86 kernel: klogd 1.4.1, log source = /proc/kmsg started. Aug 4 13:50:15 holmes86 kernel: Linux version 2.6.22.1-8 ([email protected]) (gcc version 4.2.0) #1 SMP Wed Jul 18 11:18:32 EDT 2007 Aug 4 13:50:15 holmes86 kernel: BIOS-provided physical RAM map: Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000000000 - 000000000009f000 (usable) Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000000009f000 - 00000000000a0000 (reserved) Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000100000 - 000000001f7d3800 (usable) Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000001f7d3800 - 0000000020000000 (reserved) Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000e0000000 - 00000000f0007000 (reserved) Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000f0008000 - 00000000f000c000 (reserved) 從上面的信息可以看出，查看 /proc/8663/fd/15 就可以得到所要恢復的數據。如果可以通過文件描述符查看相應的數據，那麼就可以使用 I/O 重定向將其復制到文件中，如: cat /proc/1283/fd/2 > /var/log/messages 對於許多應用程序，尤其是日誌文件和資料庫，這種恢復刪除文件的方法非常有用。

可以列出被 進程 所 打開 的 文件 的信息。被打開的文件可以是

1.普通的文件，2.目錄 3.網路文件系統的文件，4.字元設備文件 5.(函數)共享庫 6.管道，命名管道 7.符號鏈接

8.底層的socket字流，網路socket， unix 域名socket

9.在 linux 裡面，大部分的東西都是被當做文件的…..還有其他很多

怎樣使用lsof

這里主要用案例的形式來介紹lsof 命令的 使用

1.列出所有打開的文件:

lsof

備注: 如果不加任何參數，就會打開所有被打開的文件，建議加上一下參數來具體定位

2. 查看 誰正在使用某個文件

lsof /filepath/file

3.遞歸查看某個目錄的文件信息

lsof +D /filepath/filepath2/

備注: 使用了+D，對應目錄下的所有子目錄和文件都會被列出

4. 比使用+D選項，遍歷查看某個目錄的所有文件信息 的方法

lsof | grep 『/filepath/filepath2/』

5. 列出某個用戶打開的文件信息

lsof -u username

備注: -u 選項，u其實是user的縮寫

6. 列出某個程序所打開的文件信息

lsof -c mysql

備注: -c 選項將會列出所有以mysql開頭的程序的文件，其實你也可以寫成 lsof | grep mysql, 但是第一種方法明顯比第二種方法要少打幾個字元了

7. 列出多個程序多打開的文件信息

lsof -c mysql -c apache

8. 列出某個用戶以及某個程序所打開的文件信息

lsof -u test -c mysql

9. 列出除了某個用戶外的被打開的文件信息

lsof -u ^root

備註：^這個符號在用戶名之前，將會把是root用戶打開的進程不讓顯示

10. 通過某個進程號顯示該進行打開的文件

lsof -p 1

11. 列出多個進程號對應的文件信息

lsof -p 123,456,789

12. 列出除了某個進程號，其他進程號所打開的文件信息

lsof -p ^1

13 . 列出所有的網路連接

lsof -i

14. 列出所有tcp 網路連接信息

lsof -i tcp

15. 列出所有udp網路連接信息

lsof -i udp

16. 列出誰在使用某個埠

lsof -i :3306

17. 列出誰在使用某個特定的udp埠

lsof -i udp:55

特定的tcp埠

lsof -i tcp:80

18. 列出某個用戶的所有活躍的網路埠

lsof -a -u test -i

19. 列出所有網路文件系統

lsof -N

20.域名socket文件

lsof -u

21.某個用戶組所打開的文件信息

lsof -g 5555

22. 根據文件描述列出對應的文件信息

lsof -d description(like 2)

23. 根據文件描述范圍列出文件信息

lsof -d 2-3

實用命令

⑶ ubuntu已刪除的文件怎麼恢復

ubuntu 下把文件刪除了之後的解決辦法有：
1、藉助工具。
2、自己寫程序。你需要會編程並了解對應的文件系統。
3、如果數據很有用，也許可以找專業公司搶救。
工具
1、The Sleuth Kit(Autopsy是它的一個圖形前端)
2、Foremost
3、一個全能的工具，Finaldata,可以恢復unix/linux/dos下誤刪的文件。對於unix，支持這些產品， Solaris、AIX和HP-UX。對於linux，支持EXT2的文件系統。對於dos，支持FAT 12/16/32, NTFS 4/5/5.1 的文件系統。
4、如果文件系統是ext2(對ext3無效):
ext3的刪除機制是直接把 inode data 刪除了，所以造成 ext3 無法反刪除(ext3設計為無法恢復被刪除的文件)。
unrm
ext2ed
debugfs(undel lsdel )
recover
Midnight Commander(mc)
e2undel
tct
5、如果文件系統是FAT32或者NTFS:
EasyRecovery
Finaldata
6、freebsd如果使用了rm，可以試一下undelete這個命令.
7、當進程打開了某個文件時，只要該進程保持打開該文件，lsof可以用來恢復刪除文件。

⑷ linux 下 rm 之後的文件還能恢復嗎

理論上rm刪除的文件是還能恢復的。刪掉文件其實只是將指向數據塊的索引點(information nodes)釋放，只要不被覆蓋，數據其實還在硬碟上，關鍵在於找出索引點，然後將其所指數據塊內的數據抓出，再保存到另外的分區。在用rm誤刪除文件後，我們要做的第一件事就是保證不再向誤刪文件的分區寫數據。
通常我們可以有以下幾種選擇：
1、藉助工具。
2、自己寫程序。你需要會編程並了解對應的文件系統。
3、如果數據很有用，也許可以找專業公司搶救。
工具
1、The Sleuth Kit
2、Foremost
3、一個全能的工具，Finaldata,可以恢復unix/linux/dos下誤刪的文件。對於unix，支持這些產品， Solaris、AIX和HP-UX。對於linux，支持EXT2的文件系統。對於dos，支持FAT 12/16/32, NTFS 4/5/5.1 的文件系統。
4、如果文件系統是ext2(對ext3無效):
ext3的刪除機制是直接把 inode data 刪除了，所以造成 ext3 無法反刪除(ext3設計為無法恢復被刪除的文件)。
unrm
ext2ed
debugfs(undel lsdel )
recover
Midnight Commander(mc)
e2undel
tct
5、如果文件系統是FAT32或者NTFS:
EasyRecovery
Finaldata
6、freebsd如果使用了rm，可以試一下undelete這個命令.
7、當進程打開了某個文件時，只要該進程保持打開該文件，lsof可以用來恢復刪除文件。

⑸ 在linux 根目錄rm * -rf以後怎麼辦

首先，這是一個非常危險的操作，執行後Linux基本報廢。如下圖所示，把rm命令都刪除了。我是在虛擬機中做的實驗，真實機一定不要執行此操作。

其次，在根目錄執行rm * -rf的命令對Linux系統來說是毀滅性的。如果日常工作中，刪除了某個文件，可以通過下面的方法找回。以下方法不適用你問題中的情況。只是做為擴展。

1. lsof

文件剛剛被刪除，想要恢復，先嘗試lsof.

#lsof |grep data.file1

# cp /proc/xxx/xxx/xx /dir/data.file1

2.

如果lsof不能看到文件，那麼就需要使用恢復軟體進行恢復。

要做的第一件事是立刻卸載被誤刪除文件所在的分區，或者重新以只讀方式掛載此分區。

umount /dev/part 或 mount -o remount,ro /dev/part

刪除一個文件，就是將文件inode(inode 是操作系統尋找文件的目錄，起到索引作用)

節點中的扇區指針清除，同時，釋放這些數據對應的數據塊，

而真實的文件還存留在磁碟分區中。但是這些被刪除的文件不一定會一直存留在磁碟中，當這些

釋放的數據塊被操作系統重新分配時，這些被刪除的數據就會被覆蓋。因此要立刻卸載分區。

3. ext3grep

該工具只能用於ext3文件系統，操作步驟不詳細介紹.

1> unmount /dev/part

2> ext3grep /dev/part --ls --inode 2 ##列出可恢復文件信息

3>ext3grep /dev/part --restore-inode N

4>恢復到 RESTORED_FILES/

更多命令查看 ext3grep --help

4. extundelete

該工具可以恢復ext3,ext4. http://extundelete.sourceforge.net/

1>fuser -k /dev/part && unmunt /dev/part

2>extundelete --inode 2 /dev/part

3>extundelete --restore-inode 13 /dev/part

4>恢復到 RECOVERD_FILES/

5.note

1> 對於空文件，不會進行恢復

2> 可以恢復mysql表， 由於myisam是單獨3個文件，恢復出來就能使用。

3> 建議innodb，設置innodb_file_per_table 為 ON，這樣也就能恢復單表數據。

4> 從上面可以看出，恢復工具這能恢復分區，所以，建議為應用軟體單獨劃區進行安裝，

存放數據。