Linux日志清除

　　以前听到黑客入侵别人的系统后不是清除全部日志，而是擦除自己的登陆信息，当时还觉得这是不可能的事情，直到后来了解了其中的奥秘。现在我们就去看看Linux日志清除的内容吧。

　　modify wtmp ，哈哈，果然都出来了，先后编译了好几个C源代码，如gcc -o cloak2 cloak2.c等等 ，其中wted用的非常顺手，功能也挺强的，就是因为人家有个usage()函数，告诉了你怎么使用，别的程序没有使用文档，只能通过C代码中main里参数定义来看了，倒也不是太难，后来发现一个非常强大的修改lastlog的C代码，可是苦于不知道怎么使用，而且它的文档里面也只是说可以“delete”掉lastlog记录，没有说可以修改（也就是我想要的modify），这时候随意的看着GOOGLE，幸运的是正好被偶看到了这个程序作者写的程序原理，太棒了，通读两遍，OK了，只要在-d 选项后面接上UTC格式的时间即可，而且是秒数才行，呵呵，这东西不看文档鬼才知道啊！

　　上面这段说的是清除wtmp lastlog 的日志，其他如.bash_history message secury的日志清起来比较简单，因为是文本可编辑的文件，直接操作即可，当然也不要一行行的自己操作，我的做法是登陆系统后先备份.bash_history，然后重新登陆的时候将它考回去，这样历史记录就顺利还原了，我是用脚本SHELL实现的，一次性清除WTMP，修改LASTLOG，还原history，删除脚本，还有用sed 删除message secury的相关日志（主要是sed -e '/我的IP地址/d' /var/log/secury > secury.bak ; mv -f secury.bak /var/log/secury ;sed -e '/我的登陆时间/d' /var/log/message > ……）很简单，就20几行就可以了。

　　于是登陆linux服务器测试，一切顺利，终于明白怎么清除关于自己的日志了。

　　通过这次对日志的专门性清除，偶对linux强大的日志也不象以前那么崇拜了，毕竟我这样的烂水平都可以做到入侵完以后只在系统的.bash_history 中留下一个exitt的脚本名，而一般的人看到这个exitt之后还以为是打错了退出系统的命令呢，其实是偶在/sbin下面放的一个大大的脚本，而且这个脚本最后一句还是：

　　　rm -f /sbin/exitt

　　简直就是“天空没有鸟的痕迹，但我已经飞过”啊，强烈崇拜自己了，嘿嘿。

　　以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持爱站技术频道。