入侵Linux系统后日志文件及入侵后日志如何清除
黑客攻防
1 黑客攻击的动机及步骤
黑客攻击的步骤
3)实施攻击
攻击者通过上述方法找到系统的弱点后,就可以对系统实施攻击。 攻击者的攻击行为一般可以分为以下3种表现形式: (1) 掩盖行迹,预留后门
攻击者潜入系统后,会尽量销毁可能留下的痕迹,并在受损害系统中 找到新的漏洞或留下后门,以备下次光顾时使用。
(2) 安装探测程序
为了避免被发现,在入侵完毕后需要及时清除登录日志及其他相关日 志。 11
1 黑客攻击的动机及步骤
黑客攻击的步骤
1)收集信息和系统扫描
(1) 收集要攻击目标系统的相关信息
这些信息包括目标系统的位置、路由、目标系统的结构及技术 细节等。可以用以下的工具或协议来完成信息收集。Ping程序、 Tracert程序、Finger协议、DNS服务器、SNMP协议、whois协 议。
攻击者可能在系统中安装探测软件,即使攻击者退出去以后,探测软 件仍可以窥探所在系统的活动,收集攻击者感兴趣的信息,如:用户 名、账号、口令等,并源源不断地把这些秘密传给幕后的攻击者。
(3) 取得特权,扩大攻击范围
攻击者可能进一步发现受损害系统在网络中的信任等级,然后利用该 信任等级所具有的权限,对整个系统展开攻击。如果攻击者获得根用 户或管理员的权限,后果将不堪设想。
14
实例演示
一、信息收集
15
实例演示
1 、获取 地址信息 获取IP地址信息 获取 直接打开DOS窗口,然后使用“ping www.***.com”获取该网站的真实IP地址
16
实例演示
2、初步获取端口开放情况 初步获取端口开放情况
使用“sfind.exe –p 61.*.*.218”命令来获取该职 校服务器的端口开放情况,如图3所示,该服务器开 放了21、80以及3389端口,通过端口扫描可以初步 判断为该服务器为Windows系列。 Windows
Linux云主机CoinMiner病毒的清除与防范
Linux云主机CoinMiner病毒的清除与防范随着云技术日益成熟,Linux云主机已成为部署互联网应用服务首选,在互联网市场占据了重要的地位。
同时各种漏洞以及木马的攻击活动日益猖獗,Linux 云主机成为了攻击对象,任何安全漏洞问题,都会给企业带来巨大的利益伤害。
本文针对Linux云主机遭遇木马漏洞攻击的安全问题,以实际的项目案例为基础,分析并追踪了CoinMiner挖矿病毒运行的表象和总结出清理步骤,并结合项目实际经验提出一些有效的防范建议。
标签:云主机;CoinMiner;安全防范1.引言国家互联网应急中心(CNCERT)监测数据表明,虽然国内主流云平台使用的IP地址数量仅占我国境内全部IP地址数量的7.7%,但云平台已成为发生网络攻击的重灾区,在各类型网络安全事件数量中,云平台上的DDoS攻击次数、被植入后门的网站数量、被篡改网站数量均占比超过50%。
从云平台上发出的攻击增多,是因为云服务使用存在便捷性、可靠性、低成本、高帶宽和高性能等特性,且云网络流量的复杂性有利于攻击者隐藏真实身份,攻击者更多的利用云平台设备作为跳板机或控制端发起网络攻击。
国家互联网应急中心(CNCERT)编写的《2019年我国互联网网络安全态势综述》报告指出,勒索病毒、挖矿木马在黑色产业刺激下持续活跃。
2018年上半年钓鱼网站攻击次数刷新了历史最高值,其中针对虚拟货币交易所账户认证信息的攻击占总次数的18.5%;恶意挖矿软件Coinminer的检出次数高达41万次。
随着2019年下半年加密货币价格持续走高,挖矿木马更加活跃。
大部分的木马病毒主要针对Windows的漏洞进行传播和感染,Linux相比较而言是安全的。
但是随着信息技术的不断演变,没有绝对的安全,针对Linux 系统的攻击手段越来越多,很多木马病毒通过程序的形式发布在Linux服务器上,来窃取用户和企业的数据信息,Linux服务器的安全风险越来越重要。
如何应对外界的木马病毒的攻击来保证服务器的安全,已经成为一项重要的研究性课题。
网络攻防技术-Linux痕迹清除
项目九 跳板与痕迹清除
13
步骤2 编写批量清除日志文件内容的命令脚本。启动vim编辑器,在/var/log目录下新建一个 “cl.sh”文件,在文件中输入如图9-44所示内容,完成后保存退出。
图9-44 编写批量清除日志的命令脚本
项目九 跳板与痕迹清除
14
在图9-44中,“#!/bin/sh”是指此脚本使用“/bin/sh”来解释执行,“#!”是特殊的表示符,其后面 跟的是解释此脚本的shell的路径。脚本中“/dev/null”可以看成Linux中的一个垃圾箱,这里的 值永远是空的。以第二行命令为例,“cat /dev/null > /var/log/syslog”意思为把syslog文件扔进 垃圾箱,赋空值syslog。
该日志文件记录系统身份认证的信息,如SSH登录的身份认证等。
该日志文件记录crontab守护进程crond所派生的子进程的动作,前面加上用 户、登录时间和PID以及派生出的进程的动作。 该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动。它可 以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统。 该日志文件是许多进程日志文件的汇总,从该文件可以看出任何入侵企图或 成功的入侵。
项目九 跳板与痕迹清除
8
(3)错误日志。
Syslog日志系统已经被许多设备兼容。Linux系统的syslog可以记录系统事件,主要由 syslogd程序执行。Linux系统下各种进程、用户程序和内核都可以通过syslog文件记录重要 信息,错误日志记录在“/var/log/messቤተ መጻሕፍቲ ባይዱges”中。有许多Linux/UNIX程序创建日志,像HTTP和 FTP这样提供网络服务的服务器也保持详细的日志。
图9-45 清除secure日志内容后的结果
信息安全等级测评师考试重点梳理 (1)
第一章网络安全测评网络全局1.1结构安全(G3)a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b)应保证网络各个部分的带宽满足业务高峰期需要;c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;(静态动态路由、动态路由协议认证功能。
)ospf开放最短路径优先)d)应绘制与当前运行情况相符的网络拓扑结构图;e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;(VLAN划分)f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;(在网络边界处部署:防火墙、网闸、或边界网络设备配置并启用acl)g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
(检查防火墙是否存在策略带宽配置)注释:1)静态路由是指由网络管理员手工配置的路由信息,当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工修改路由表中相关的静态路由信息。
2)动态路由是指路由器能够自动地建立自己的路由表,并且能够根据实际情况的变化适时的进行调整。
动态路由机制的运作依赖路由的两个基本功能:对路由表的维护和路由器之间适时的路由信息交换。
路由器之间的信息交换是基于路由协议实现的,如ospf路由协议是一种典型的链路状态路由协议,它通过路由器之间通告网络接口的状态,来建立链路状态数据库,生成最短路径树,每个ospf路由器使用这写最短路径构造路由表。
如果使用动态路由协议应配置使用路由协议认证功能,保证网络路由安全。
3)vlan是一种通过将局域网内的设备逻辑而不是物理划分成不同子网从而实现虚拟工作组的新技术。
不同vlan内的报文在传输时是相互隔离的。
如果不同vlan要进行通信,则需要通过路由器或三层交换机等三层设备实现。
思科华为4)是否存在路由协议认证:show running-config display current-configuration 查看vlan划分情况: show vlan display vlan all1.2边界完整性检查(S3)a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;(技术手段:网络接入控制、关闭网络未使用的端口、ip/mac地址绑定;管理措施:进入机房全程陪同、红外视频监控)b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
黑客技术初级教程
当然大多数攻击成功的范例还是利用了系统软件本身的漏洞。
造成软件漏洞的主要原因在于编制该软件的程序员缺乏安全意识。
当攻击者对软件进行非正常的调用请求时造成缓冲区溢出或者对文件的非法访问。
其中利用缓冲区溢出进行的攻击最为普遍,据统计80%以上成功的攻击都是利用了缓冲区溢出漏洞来获得非法权限的。
关于缓冲区溢出在后面用专门章节来作详细解释。
无论作为一个黑客还是一个网络管理员,都需要掌握尽量多的系统漏洞。
黑客需要用它来完成攻击,而管理员需要根据不同的漏洞来进行不同的防御措施。
了解最新最多的漏洞信息,可以到诸如Rootshell(www.rootshell.com)、Packetstorm(packetstorm.securify.com)、Securityfocus(www.securityfocus.com)等网站去查找。
2.权限的扩大系统漏洞分为远程漏洞和本地漏洞两种,远程漏洞是指黑客可以在别的机器上直接利用该漏洞进行攻击并获取一定的权限。
这种漏洞的威胁性相当大,黑客的攻击一般都是从远程漏洞开始的。
但是利用远程漏洞获取的不一定是最高权限,而往往只是一个普通用户的权限,这样常常没有办法做黑客们想要做的事。
这时就需要配合本地漏洞来把获得的权限进行扩大,常常是扩大至系统的管理员权限。
只有获得了最高的管理员权限之后,才可以做诸如网络监听、打扫痕迹之类的事情。
要完成权限的扩大,不但可以利用已获得的权限在系统上执行利用本地漏洞的程序,还可以放一些木马之类的欺骗程序来套取管理员密码,这种木马是放在本地套取最高权限用的,而不能进行远程控制。
例如一个黑客已经在一台机器上获得了一个普通用户的账号和登录权限,那么他就可以在这台机器上放置一个假的su程序。
一旦黑客放置了假su程序,当真正的合法用户登录时,运行了su,并输入了密码,这时root密码就会被记录下来,下次黑客再登录时就可以使用su变成root了。
攻击的善后工作1.日志系统简介如果攻击者完成攻击后就立刻离开系统而不做任何善后工作,那么他的行踪将很快被系统管理员发现,因为所有的网络操作系统一般都提供日志记录功能,会把系统上发生的动作记录下来。
最全Linux应急响应技巧
最全Linux应急响应技巧原⽂地址:留存备⽤Linux环境下处理应急响应事件往往会更加的棘⼿,因为相⽐于Windows,Linux没有像Autorun、procexp这样的应急响应利器,也没有统⼀的应急响应处理流程。
所以,这篇⽂章将会对Linux环境下的应急响应流程进⾏讲解,并且提供每⼀个环节中所⽤到的shell命令,以帮助⼤家快速、系统化地处理Linux环境下的病毒。
处理Linux应急响应主要分为这4个环节:识别现象->清除病毒->闭环兜底->系统加固1. ⾸先从⽤户场景的主机异常现象出发,先识别出病毒的可疑现象。
2. 然后定位到具体的病毒进程以及病毒⽂件,进⾏清除。
3. 完成前2步还不够,病毒⼀般会通过⼀些⾃启动项及守护程序进⾏重复感染,所以我们要执⾏闭环兜底确保病毒不再被创建。
4. 将主机上的病毒项清除⼲净后,最后就是进⾏系统加固了,防⽌病毒从Web再次⼊侵进来。
⾛完这4个环节,才能算是⼀个应急响应流程的结束。
01识别现象第1个环节要求我们通过系统运⾏状态、安全设备告警,发现主机异常现象,以及确认病毒的可疑⾏为。
系统CPU是否异常枚举进程,CPU降序排序:topCPU占⽤率超过70%且名字⽐较可疑的进程,⼤概率就是挖矿病毒了。
是否存在可疑进程枚举进程命令⾏:ps -aux病毒⼀般都携带可疑的命令⾏,当你发现命令⾏中带有url等奇怪的字符串时,就要注意了,它很可能是个病毒downloader。
安全⽹关有⽆报警从安全⽹关报警中识别出威胁是最直接,但确认主机已经感染了病毒只是第⼀步,接下来得定位,具体是哪个进程在与C&C通信。
监控与⽬标IP通信的进程:while true; do netstat -antp | grep [ip]; done有时安全⽹关检测到的不全是恶意IP,还有可能是个域名,这种情况下,域名对应的IP是变化的,我们不能直接⽤上述⽅法进⾏监控。
我们可以先在host⽂件中添加⼀条规则,将恶意域名重定向到⼀个随机的IP地址,然后对其进⾏监控。
入侵检测系统
格式 “” 由identd返回的该用户信息 UserID [DD/MMM/YYYY:HH:MM:SS+TimeZone] “GET ” NNN,如果没有则以“-”表示 NNNNN,如果没有则以“-”表示 /dir/page “browser/version”(操作系统)
日期
时间
主体标识
事件标号
事件来源
事件等级
计算机名 事件类别
事件描述区的内容取决于具体的事件,可以是事件的名称、详 细说明、产生该事件的原因、建议的解决方案等信息。
附加数据
可选数据区,通常包含可以以16进制方式显示的二进制数据。 具体内容由产生事件记录的应用程序决定。
2021/2/4
1
33
33
系统日志
2021/2/4
1
15
15
审计记录的问题
• 过于细节化的问题 • 缺乏足够细节的问题 • 缺乏说明文档 • 不同系统审计记录的不兼容
– 最让入侵检测系统头疼的问题!
2021/2/4
1
16
16
审计记录内容
• 响应事件的主题和涉及事件的目标信息
– 主体
– 对象
– 进程
– 用户id
– 系统调用的参数
– 返回值
– 基于主机的监测收集通常在操作系统层的来自计算机内 部的数据,包括操作系统审计跟踪信息和系统日志
• 来自网络的 – 检测收集网络的数据
• 来自应用程序的
– 监测收集来自运行着的应用程序的数据,包括应用程序 事件日志和其它存储在应用程序内部的数据
• 来自目标机的 – 使用散列函数来检测对系统对象的修改。
2021/2/4
1
5
(2)信息分析
系统日志的管理
常用的日志文件
boot: 记录系统启动日志 cron: 记录守护进程crond的日志
lastlog: 记录最近几次成功登录的事件和最后一次不成功的登
常见的日志文件 录 messages: 从syslog中记录信息(有的链接到syslog文件)
sudolog: 记录使用sudo发出的命令 sulog: 记录使用su命令的使用
■ 系统管理员应该定期地对日志文件进行检查, 以发现潜在的问题, 并在这 些问题变得棘手之前解决
■ 通过对日志文件的定期检查, 管理员会逐渐熟悉在日志文件中, 哪些代表 了正常行为、哪些代表发生了预期外的事件
转储日志文件
■ 清除旧日志文件, 腾出磁盘空间存储新的日志信息 ■ 压缩日志文件, 并将其存储在日志存档介质中,
none 通常调试程序时用, 指示带有none级别的类型产生 的信息无需送出。如*.debug;mail.none表示调试时除邮件 外其它
日志文件syslog.conf
//将info或更高级别的消息送到/var/log/messages, 除了mail以外。 //其中*是通配符, 代表任何设备;none表示不对任何级别的信息进行记录。 *.info;mail.none;authpriv.none /var/log/messages //将authpirv设备的任何级别的信息记录到/var/log/secure文件中, 这主要是一些和使 用相关的信息。 authpriv.* /var/log/secure //将mail设备中的任何级别的信息记录到/var/log/maillog文件中, 这主要是和电子邮相 关的信息。 mail.* /var/log/maillog //将cron设备中的任何级别的信息记录到/var/log/cron文件中, 这主要是和系统中定执 行的任务相关的信息。 cron.* /var/log/cron //将任何设备的emerg级别的信息发送给所有正在系统上的用户。 *.emerg * //将uucp和news设备的crit级别的信息记录到/var/log/spooler文件中。 uucp,news.crit /var/log/spooler //将和系统启动相关的信息记录到/var/log/boot.log文件中。 local7.* /var/log/boot.log
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Linux系统的LOG日志文件及入侵后日志的清除UNIX网管员主要是靠系统的LOG,来获得入侵的痕迹.当然也有第三方工具记录入侵系统的痕迹,UNIX系统存放LOG文件,普通位置如下:/usr/adm - 早期版本的UNIX/var/adm - 新一点的版本使用这个位置/var/log - 一些版本的Solaris,linux BSD,Free BSD使用这个位置/etc - 多数UNIX版本把utmp放在这里,有些也把wtmp放在这里,syslog.conf在这里下面的一些文件根据你所在的目录不同而不同:acct 或pacct -- 记录每个用户使用的命令记录access_log -- 主要当服务器运行NCSA HTTPD时, 记录什么站点连接过你的服务器aculog -- 保存着你拨出去的MODEMS记录lastlog -- 记录了用户最近的LOGIN记录和每个用户的最初目的地,有时是最后不成功LOGIN的记录,当一个用户登陆到unix系统,注册程序在lastlog文件中查找该用户的uid,如果该程序找到了该用户的uid,unix就会显示最后一次登陆的时间和tty(终端号)loginlog -- 记录一些不正常的LOGIN记录messages -- 记录输出到系统控制台的记录,另外的信息由syslog来生成security -- 记录一些使用UUCP系统企图进入限制范围的事例sulog -- 记录使用su命令的记录.它通常在/var/adm/sulog.如果你在机器上使用了su命令,别忘了清除哦.utmp -- 记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化.它还会为系统中的用户保持很长的历史记录,utmp日志通常存放在/var/adm/utmp目录下.可以用w和who命令查看,其他命令也可以访问这个文件.如:finger root就可以.现在的utmp一般都有utmpx文件作为日志记录的补充.utmpx -- UTMP的扩展wtmp -- 记录用户登录和退出事件.它和utmp日志文件相似,但它随着登陆次数的增加,它会变的越来越大,有些系统的ftp访问也在这个文件里记录,同时它也记录正常的系统退出时间,可以用ac和last命令访问.syslog -- 最重要的日志文件,使用syslogd守护程序来获得日志信息,通常情况下通过查看/etc/syslog.conf.我们可以知道syslog记录些什么.缺省时,它把大多的消息传给/var/adm/message./dev/log -- 一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息/dev/klog -- 一个从UNIX内核接受消息的设备514端口-- 一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息。
uucp -- 记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机lpd-errs -- 处理打印机故障信息的日志ftp日志-- 执行带-l选项的ftpd能够获得记录功能httpd日志-- HTTPD服务器在日志中记录每一个WEB访问记录history日志-- 这个文件保存了用户最近输入命令的记录vold.log -- 记录使用外接媒介时遇到的错误记录======================其他类型的日志文件-======================有些类型的LOG文件没有特定的标题,但开始于一个特定的标志,你可以在前面头发现如下的标志,这就一般表示此是个LOG日志文件,你就可以编辑它了:xfer -- 表明试图一个禁止的文件传输.rexe -- 表明试图执行一个不允许的命令还有许多其他其他类型的LOG文件存在,主要是第三方软件引起的,或者甚至他妈的网管自己有设置了一只"眼睛"在他的系统上,所以你要对你认为可能是LOG文件的文件多一份心眼。
许多管理员喜欢把日志文件放在同一个目录中以便管理,所以你要检查你发现的LOG文件所在的目录中,是否有其他日志文件放在这里,如果有,咯,你知道怎么做。
另一个你要注意的是有关LOG用户MAIL的文件,此文件名可以多种多样,或则有时是syslog文件的一部分。
你要知道syslog记录那些信息,你可以查看syslog.conf中的信息此文件的目录是在/etc中一般我们都是查看syslog.conf文件来查看日志的配置情况.例如:cat /etc/syslog.conf其中sunos操作系统的在/var/log和/var/adm下,还有/usr/adm为/var/adm的的链接.redhat的在/var/log 和/var/run下下面的是sun os5.7中的日志样本.此外,各种shell还会记录用户使用的命令历史,它使用用户主目录下的文件来记录这些命令历史,通常这个文件的名字为.sh_history(ksh),.history(csh),或.bash_history(bash)等。
# ls /var/admacct log messages.1 passwd sulog vold.log aculog messages messages.2sa utmp wtmp lastlog messages.0 messages.3 spellhist utmpx wtmpx# ls /var/logauthlog syslog syslog.1 syslog.3sysidconfig.log syslog.0syslog.2 syslog.4下面的是redhat9.0中的日志样本.# ls /var/logboot.log dmesg messages.2 secure uucpboot.log.1 htmlaccess.log messages.3 secure.1 wtmpboot.log.2 httpd messages.4secure.2 wtmp.1boot.log.3 lastlog netconf.log secure.3 xferlogboot.log.4 mailllog netconf.log.1secure.4 xferlog.1cron maillog netconf.log.2sendmail.st xferlog.2cron.1maillog.1 netconf.log.3spooler xferlog.3cron.2maillog.2 netconf.log.4spooler.1 xferlog.4cron.3maillog.3 news spooler.2cron.4maillog.4 normal.log spooler.3daily.log messages realtime.log spooler.4daily.sh messages.1 samba transfer.log# ls /var/runatd.pid gpm.pid klogd.pid random-seed treemenu.cache crond.pid identd.pid netreport runlevel.dir utmpftp.pids-all inetd.pid news syslogd.pid一般我们要清除的日志有lastlogutmp(utmpx)wtmp(wtmpx)messagessyslogsulog一般把以上说的日志给擦一下,就可以了.:)下面我来说说上面这些我们要清除的日志的相关资料和清除方法.更详细的资料和其他的日志请你查看相关资料.上面已经对日志的功能做了简单陈述,那么这些日志文件到底记录的是什么呢?follow me 下面是一个例子:SunOS 5.7login: gaoPassword:No directory! Logging in with home=/Last login: Sun Feb 4 22:18:25 from 219.31.36.7Sun Microsystems Inc. SunOS 5.7 Generic October 1998 $然后注册程序用新的登陆时间和TTY信息更新lastlog文件,而且该程序带更新utmp wtmp.文件.shell记录:.sh_history(ksh),.history(csh),或.bash_history(bash)等,是shell执行时的历史记录.记录用户执行的命令.它一般存在于用户的主目录.别忘了去根目录看看.1.日志都是一些文本形式的文件.最笨的方法是用文本编辑器来编辑日志文件.删除相关的记录.来达到擦拭脚印和隐藏自己的效果.比如用vi等但这样做是很笨的.太麻烦,工作量太大.2.用rm -f 来删掉日志.比如rm -f /usr/adm/lastlog这样做是很蠢的.更容易被管理员发现有人入侵.但是,相对来说自己还是保护好了.:)可以用在一些不太重要的机器上.3.用>定向符清除.比如:cat>/usr/log/lastlog->这里输入你要的写的东西.最好伪装得像一些,也可以不输入哦.:)^d->这里的^d是按键ctrl + d.# .4.当然最好的是用日志清除工具.输入几个命令让程序帮你擦:)a.常见的日志清除工具.下面介绍一个比较好的日志清除器.:)http://packetstormsecurity.nl/UNIX/penetration/log-wipers/wipe-1.00.tgz他完全可以清除lastlogutmputmpxwtmpwtmpx下面我们来看看.(示范工作平台sunos 5.7)# gzip -d wipe-1.00.tgz# tar -xf wipe-1.00.tar# cd wipe-1.00# ls -al总数32drwxr-xr-x 2 root root 5122月4 20:48. drwxrwxrwx 6 root other10242月4 18:40 ..-rw-r--r-- 1 root root 1301997 1月9INSTALL -rw-r--r-- 1 root staff13891997 1月9Makefile -rw-r--r-- 1 root root 498 1997 1月9 README -rw-r--r-- 1 root staff100271997 1月9wipe.c# makeWipe v0.01 !Usage: 'make ' where System types are:linux freebsd sunos4 solaris2 ultrixaix irix digital bsdi netbsd hpux#我们可以看到它需要出示系统的选项.这些选项是:linux freebsd sunos4 solaris2 ultrixaix irix digital bsdi netbsd hpux我们要清除相关的系统日志就必须在相同的系统下编译.比如我们要在redhat等linux下编译,就应为:make linux在freebsd下编译就应为:make freebsd在sunos 4下编译,就应为:make sunos4在sunos 5以上的系统里编译,就应为:make solaris2# make solaris2gcc -O3 -DHA VE_LASTLOG_H -DHA VE_UTMPX -o wipe wipe.c# ls -al总数94drwxr-xr-x 2 root root5122月4 21:03. drwxrwxrwx 6 root other10242月4 18:40..-rw-r--r-- 1 root root1301997 1月9 INSTALL -rw-r--r-- 1 root staff13891997 1月9 Makefile -rw-r--r-- 1 root root 4981997 1月9 README -rwxr-xr-x 1 root other 309202月4 21:03wipe-rw-r--r-- 1 root staff 100271997 1月9 wipe.c #./wipeUSAGE: wipe [ uwla ] ...options...UTMP editing: Erase all usernames : wipe u [username]Erase one username on tty: wipe u [username] [tty]WTMP editing: Erase last entry for user : wipe w [username]Erase last entry on tty : wipe w [username] [tty] LASTLOG editing: Blank lastlog for user : wipe l [username] Alter lastlog entry : wipe l [username] [tty] [time] [host]Where [time] is in the format [YYMMddhhmm]ACCT editing: Erase acct entries on tty : wipe a [username] [tty]大家可以看到编译好的wipe的使用方法.其中u 选项为utmp utmpx 日志擦除..w 选项为wtmp wtmpx 日志擦除.l 选项为lastlog 日志擦除.a 为/var/adm/pacct日志擦除.(一般不用这个.:)其中[tty]为终端号.为在有多个相同帐号同时登陆时,清除日志的使用选项.当然是要你的终端号哦.:)大家可以用w 命令查终端号.比如:# w下午9:15 1 user, 平均负荷: 0.00, 0.00, 0.01用户名终端号登入时间闲置JCPU PCPU 执行命令root pts/1 下午7:403 w下面的是我在sunos 5.7上的具体的使用情况# w下午9:15 1 user, 平均负荷: 0.00, 0.00, 0.01用户名终端号登入时间闲置JCPU PCPU 执行命令root pts/1 下午7:40 3 w# ./wipe u rootPatching /var/adm/utmp .... Done.Patching /var/adm/utmpx .... Done.# w下午9:15 1 user, 平均负荷: 0.00, 0.00, 0.01用户名终端号登入时间闲置JCPU PCPU 执行命令# ./wipe w gaoPatching /var/adm/wtmp .... Done.Patching /var/adm/wtmpx .... Done.# ./wipe l rootPatching /var/adm/lastlog .... Done.好了.lastlog utmp utmpx wtmp wtmpx 擦完了.当然我们不要忘了shell记录.# ls -al /.*history-rw------- 1 root other 456 2月4 20:27 .sh_history# rm -f .*history# cd# pwd/home/gao# ls -al /.*history-rw------- 1 root other 456 2月4 20:27 .sh_history # rm -f .*historyok, 算是大功告成吧。