作者：Zgao

ext2/ext3/ext4 文件系统调试器

debugfs

在不依赖第三方数据恢复软件的情况下，linux自带适用于常规数据恢复的程序当属debugfs。该命令功能强大，在我数据恢复系列的前几篇文章中频繁提到。但是国内对debugfs详细使用介绍较少且不全面。故专门用一篇文章来介绍debugfs使用，可以对数据恢复有更深刻的理解。

上周溯源某挖矿case，在排查过程中发现挖矿文件被人为删除。最终通过确定文件被删除的时间以缩小排查ssh登录的时间范围从而锁定了可疑ip。该case引发了我的思考，linux下如何查找最近被删除的文件？本文是数据恢复的第三篇文章，只是快速找到被删除文件，并不涉及如何恢复文件本身。

在上一篇文章《数据恢复(一)-linux下ext文件系统数据删除原理浅析》中分析了ext数据删除的原理，这篇文章中会结合实例分析数据恢复的原理。

漏洞简述

向日葵远程控制软件是一款远程控制软件。2022年2月互联网披露向日葵远程控制软件旧版本中存在远程命令执行漏洞，向日葵远程控制软件会监听高端口（默认40000以上），攻击者可构造恶意请求获取Session，从而通过身份认证后利用向日葵远程控制软件相关API接口执行任意命令。低版本向日葵RCE主要发生在对外开放的接口/check处，当cmd的值为ping/nslookup开头时触发。

应急工作中经常会遇到日志或关键信息文件等被删除的情况，为溯源排查带来了不小的阻碍。但是大多数文件被删除的情况都并非真正意义上的删除（除非文件block位置已经被覆盖），数据还在磁盘上都是有恢复的可能。本文对linux下文件系统的文件删除机制并结合相关删除的案例进行分析。

导语

偶然在修改sshd配置文件过程中，发现了X11-forwarding这个配置项。该选项支持远程调用linux上主机的图形化界面程序。
以前我一直有个误区，必须在安装了图形化界面的linux系统上才能运行GUI程序，而作为无界面的linux Sever 本身不支持GUI程序。直到发现X11-forwarding才直到这个想法是错误的。因为linux的图形化界面也不过是一个软件罢了，并非系统内核支持。既然是软件，那么任意linux都可以安装实现图形化界面。

日常应急响应中，大部分case需要上机排查。但是客户环境多种多样，以往依赖于vnc对云上机器进行应急响应方式，效率非常低下（相信使用过vnc的同学应该深有体会）。因此我们对不同应急场景下的远程登录方式做了总结和归纳，希望能提升工作中应急响应效率。

应急响应上机排查现状