- A+
最近搞到了几个机子,有root也有没root的,准备顺便熟悉一下linux,感觉清除日志还是很重要的,学校的机子感觉就一个rm -rf /var/log就可以,毕竟没几个人管(本校信息中心管理有点乱),但是遇到更牛的如何清除?有没有大牛愿意贡献下脚本?
1#存在敏感词 | 2015-06-19 14:24
.bash_history
2#Ricter | 2015-06-19 14:51
/var/log/wtmp
/var/log/btmp
~/.bash_history
不知道还有啥,待大牛补充..
我还是比较倾向于直接用 sh 登陆而不是 bash..
3#retanoj | 2015-06-19 15:32
/var/log/secure
4#range | 2015-06-19 19:00
原来如此
5#Annabelle | 2015-06-20 22:38
echo 1 > *.log
6#Mujj | 2015-06-21 16:17
然并卵,要是异地日志还得死。
7#sf0l | 2015-06-21 20:50
/var/run/utmp
/var/log/wtmp
/var/log/btmp
/var/log/lastlog
~/.bash_history
~/.viminfo
还有/var/log/下面部分文件会记录其他信息
楼下继续补充
8#sf0l | 2015-06-21 20:52
./.ssh/known_hosts
9#Me_Fortune | 2015-06-21 21:27
看到了range牛,我默默地报了警
10#range | 2015-06-22 00:40
@sf0l 嗦嘎
11#range | 2015-06-22 00:41
@Me_Fortune M牛勿嘲笑
12#沙豆 | 2015-06-22 03:16
为什么是清理而不是替换
13#newbie0086 | 2015-06-22 08:38
rm | 2> /dev/null
rm | 2> /dev/null
rm | 2> /dev/null
rm | 2> /dev/null
rm | 2> /dev/null
rm | 2> /dev/null
rm | 2> /dev/null
rm | 2> /dev/null
rm | 2> /dev/null
rm | 2> /dev/null
rm | 2> /dev/null
rm | 2> /dev/null
rm | 2> /dev/null
rm | 2> /dev/null
14#range | 2015-06-22 12:27
@沙豆 好吧,确实是替换
15#range | 2015-06-22 12:28
@newbie0086 已存,谢了
16#我是壮丁 | 2015-06-22 15:17
乱清理日志,被发现的更快。。。
17#李旭敏 | 2015-06-22 15:28
@我是壮丁 与其乱清理日志,不如创建个txt写上“hacked by sky”
18#冷冷的夜 | 2015-06-22 15:49
@newbie0086 你这样做不是告诉管理员 “你的机器已经被我黑了”
19#range | 2015-06-23 17:36
求经验
20#死寂的小狼 | 2015-07-01 19:01
直接删除日志会告诉管理员有入侵者上来过,
所以删除bash本次操作记录,
>/var/run/utmp(清除本次登录在线记录,w命令就看不见了)
以及清除掉/var/log/secure以及/var/log/wtmp,/var/log/lastlog本次登录IP相关的记录.
建议可以用专门日志清除工具(例如logtamper)来处理简单些.
传送门如下
http://huaidan.org/wp-content/uploads/200804/logtamper-v1.0.tgz
21#回复此人 | 2015-07-04 23:07
@死寂的小狼 嗦嘎
- 我的微信
- 这是我的微信扫一扫
-
- 我的微信公众号
- 我的微信公众号扫一扫
-
