La Red de Conocimientos Pedagógicos - Currículum vitae - Borrar rastros y ocultarse en Linux: borrar el último inicio de sesión. También puede publicar cualquier herramienta que pueda modificarse.

Borrar rastros y ocultarse en Linux: borrar el último inicio de sesión. También puede publicar cualquier herramienta que pueda modificarse.

Tenga en cuenta que el uso de logtamper solo puede borrar los rastros de registros, principalmente para utmp, UTMP, wtmp y lastlog. De hecho, el sistema Linux dejará sus registros de seguimiento: lastlog, utmp, wtmp, mensajes, syslog, sulog, por lo que no puede confiar completamente en las herramientas.

Además, varios shells también registran el historial de comandos del usuario. Utiliza archivos en el directorio de inicio del usuario para registrar el historial de estos comandos. Normalmente, este

El nombre del archivo es. sh_historia(ksh). historia (csh), o. bash_history (bash), etc.

Porque. bash_history (bash), simplemente puede usar historial-c para borrar los registros.

Log Tamper Versión 1.1

Logtamper es una herramienta que *modifica* los registros de Linux. Mientras modifica el archivo de registro, puede conservar la información de tiempo del archivo modificado (el tiempo no ha cambiado, por lo que no es necesario).

[root@localhost logtamper]#. /logtamper-static

Logtamper v 1.1 para Linux

Copyright (C) 2008

logtamper [-f utmp_filename] -h nombre de usuario nombre de host Ocultar nombre de usuario al conectarse desde el nombre de host

manipulación de registro[-f wtmp _ nombre de archivo]-w nombre de usuario nombre de host Eliminar nombre de usuario del nombre de host en el archivo wtmp

Manipulación de registro[-f último nombre de archivo de registro] -m nombre de usuario nombre de host ttyname AAAA[:MM[:DD[:hh[:MM[:ss]]]]Modificar la última información de registro

Opción -f: se utiliza para especificar La ruta del archivo a modificar es un opción. Debido a que las rutas de almacenamiento de registros de diferentes sistemas son diferentes, se pueden especificar manualmente.

La ubicación de almacenamiento de registros predeterminada es:

#define UTMPFILE "/var/run/utmp "

#Define WTMPFILE "/var/log/wtmp "

# define el último archivo de registro "/var/log/last log "

opción -h: a veces, usted y el administrador están en línea al mismo tiempo y el administrador puede verlo con solo W. Usando la opción -h, los usuarios pueden evitar la visualización del administrador, de la siguiente manera:

[root@localhost logtamper]# w

21:27:25 Hasta 5 días, 13:48, 4 usuarios, carga promedio: 0.00, 0.00, 0.00

Usuario de inicio de sesión TTY @ IDLE JCPU PCPU WHAT

root tty 1–viernes 14 18:24m 0.33s 0.33s- bash

pts raíz/3 192.168.80 1 21:21 6:22 0.04s 0.04s-bash

pts raíz/2 192.168.80 1 21:06 0.00s 0.13s 0.00. s w

root pts/4 192.168.80 1 21:21 5:52 0.03s 0.03s-bash

Comenzamos desde la máquina 192 438+068.80.6438+0 Conexión, ahora oculto:

[root@localhost logtamper]#.

/logtamper-static -h root192.168.80.1

Logtamper v 1.1 para Linux

Copyright (C) 2008

Parece que ahora eres invisible...comprueba ¡fuera!

[root@localhost logtamper]# w

21:27:46 hasta 5 días, 13:48, 1 usuario, carga promedio: 0,00, 0,00, 0,00

Inicie sesión en el usuario TTY @ IDLE JCPU PCPU WHAT

root tty 1–vie 14 18:24m 0.33s 0.33s-bash

[root@localhost logtamper]#

opción -w: Se utiliza para borrar los registros de inicio de sesión, ¿ahora los registros de Linux en Internet? Excepto que las herramientas son muy toscas, esto se puede especificar para eliminar algunas máquinas del nombre de host.

[root@localhost logtamper]# último

root tty 1 miércoles 1 de octubre 21:30–21:30 (00:00)

Pts raíz/ 4 192.168.80.1 Miércoles 1 de octubre 21:21 Aún conectado

Root pts/3 192.168.80.1 Miércoles 1 de octubre 21:21 Aún conectado

wtmp comenzó el miércoles 1 de octubre , 2008 06:01:46

Borrar el registro de inicio de sesión de 192.168.80.1:

[root@localhost logtamper]#. /log tamper-static-w root 192.168.80 . 1

Logtamper v 1.1 para Linux

Copyright (C) 2008

Aho, ahora eres invisible. ..¡Échale un vistazo!

[root@localhost logtamper]# último

root tty 1 miércoles 1 de octubre 21:30–21:30 (00:00)

wtmp comenzó a las Miércoles, 1 de octubre de 2008 06:01:46

[root@localhost logtamper]#

opción -m: se utiliza para modificar la ubicación del último inicio de sesión, esto es lo que estás usando Puedes notar esto al iniciar sesión a través de ssh.

Identidad de inicio de sesión: root

Enviar nombre de usuario "root"

Contraseña de root @ 192.168. 128:

Última vez que inició sesión : Miércoles, 1 de octubre de 2008 21:31:40 desde 192.168.80.45

[root@localhost ~]#

Si no modifica el último registro, el administrador le avisará La próxima vez inicie sesión desde la IP de nuestra máquina. Utilice la opción -m para editar esta opción:

[root@localhost logtamper]#. /logtamper-static -m raíz 1 2 3 4 tty 10 2008:1:1:1:1:1:1

Logtamper v 1.1 para Linux

Copyright ( C) 2008

Aho, nunca has estado aquí... ¡compruébalo!

[root@localhost logtamper]#

Por supuesto, esto es sólo un ejemplo. Modifíquelo de acuerdo con la información específica en uso. La interfaz de inicio de sesión será la interfaz que utilizará el administrador la próxima vez que inicie sesión.

Identidad de inicio de sesión: root

Enviar nombre de usuario "root"

Contraseña de root @ 192.168. 128:

Última vez que inició sesión : martes 1 de enero de 2008 01:01:01 de 1.2.3.4

[root@localhost ~]#