shred -n 31337 -z -u file_to_delete
這樣多次擦除才夠安全。呵呵
下面具體的針對日志文件進行分析。
W命令提供了管理員查看當前登錄帳戶的功能,所以與管理員同台共演是件很危險的事情,能不做就不做,但也有人曾經上演過local exp後,裝上tty 然後T管理員下線截獲登錄密碼的好戲。呵呵,如何讓w不顯示你登錄了呢?
lee tty1 - 01:23 5.00s 0.06s 0.06s -bash
root pts/0 192.168.1.96 00:27 0.00s 0.65s 0.04s w
用rootkit我就不廢話了,這裡有個小竅門,即使是普通用戶登錄管理員也不能看見:
在跳板上登錄目標ssh -T [email protected] /bin/bash –i 你可以試試,很好用哦。
OK,言歸正傳
首先第一個概念是timstamp,也就是你用ls –l 看到的東西,我們在修改一個LOG文件之前或者留後門之後都得留心下這個時間,有很多管理員喜歡通過timestamp來查找入侵者留下的東西。記住以下命令
touch -r 具有你希望改成的時間的文件 你要改變的文件 他能夠使得兩個文件的timestamp保持一致。
在你修改日志之前,你可以在/dev/shm下面建立一個臨時文件,並將log的timestamp保存下倆,然後再touch回去。為什麼要用/dev/shm 目錄在第三節會有說明。當然我們也可以用程序實現,不過有的時候我們會碰到沒有見過的日志類型,所以有時候需要手工改寫日志。除了時間之外,還需要注意文件的其他屬性,比如所有者或是否有粘滯位等等。這些都需要注意。
Linux 的日志散落在系統各處,同時系統管理員也能夠靈活的制定日志保存的位置,這就要求我們非常小心,采用通用的日志移除或改寫工具是很不明智的,為此我們要對需要修改的日志系統有個全面的了解。具體的內容請參看文章《Linux服務器日志管理詳解》。
這裡提供個工具
http://xi4oyu.blogbus.com/files/12090842490.tgz
http://xi4oyu.blogbus.com/files/12085049220.rar
......................
===netpipe===
[root@security-lab1 ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:13:72:4F:11:45
inet addr:10.0.64.36 Bcast:10.0.64.255 Mask:255.255.255.0
inet6 addr: fe80::213:72ff:fe4f:1145/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1