Linux日志清除
以前听到黑客入侵别人的系统后不是清除全部日志,而是擦除自己的登陆信息,当时还觉得这是不可能的事情,直到后来了解了其中的奥秘。现在我们就去看看Linux日志清除的内容吧。
modify wtmp ,哈哈,果然都出来了,先后编译了好几个C源代码,如gcc -o cloak2 cloak2.c等等 ,其中wted用的非常顺手,功能也挺强的,就是因为人家有个usage()函数,告诉了你怎么使用,别的程序没有使用文档,只能通过C代码中main里参数定义来看了,倒也不是太难,后来发现一个非常强大的修改lastlog的C代码,可是苦于不知道怎么使用,而且它的文档里面也只是说可以“delete”掉lastlog记录,没有说可以修改(也就是我想要的modify),这时候随意的看着GOOGLE,幸运的是正好被偶看到了这个程序作者写的程序原理,太棒了,通读两遍,OK了,只要在-d 选项后面接上UTC格式的时间即可,而且是秒数才行,呵呵,这东西不看文档鬼才知道啊!
上面这段说的是清除wtmp lastlog 的日志,其他如.bash_history message secury的日志清起来比较简单,因为是文本可编辑的文件,直接操作即可,当然也不要一行行的自己操作,我的做法是登陆系统后先备份.bash_history,然后重新登陆的时候将它考回去,这样历史记录就顺利还原了,我是用脚本SHELL实现的,一次性清除WTMP,修改LASTLOG,还原history,删除脚本,还有用sed 删除message secury的相关日志(主要是sed -e '/我的IP地址/d' /var/log/secury > secury.bak ; mv -f secury.bak /var/log/secury ;sed -e '/我的登陆时间/d' /var/log/message > ……)很简单,就20几行就可以了。
于是登陆linux服务器测试,一切顺利,终于明白怎么清除关于自己的日志了。
通过这次对日志的专门性清除,偶对linux强大的日志也不象以前那么崇拜了,毕竟我这样的烂水平都可以做到入侵完以后只在系统的.bash_history 中留下一个exitt的脚本名,而一般的人看到这个exitt之后还以为是打错了退出系统的命令呢,其实是偶在/sbin下面放的一个大大的脚本,而且这个脚本最后一句还是:
rm -f /sbin/exitt
简直就是“天空没有鸟的痕迹,但我已经飞过”啊,强烈崇拜自己了,嘿嘿。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持爱站技术频道。
上一篇:samba如何批量添加用户
下一篇:提高ADSL上网速度的方法