×
Биржа Crossover в России: низкий старт. (Вчера)

Внимание: "турниры" и тесты, хамство и спам от Crossover.com.

Почистить логи в линукс

Больше
5 года 11 мес. назад #1 от anatole
Кто-нибудь знает, как почистить следы пребывания на сервере, linux/unix?
Thanks for the answer.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
5 года 11 мес. назад - 5 года 11 мес. назад #2 от Aleksej
Ну, короче, var/log нужно подчистить.. wtmp, lastlog еще бинарные... secure, если удаленный коннект... истории шелла... да много еще всяких косвенных, наверно, есть; не все и сделать можно штатными средствами, особенно без рута.

Вот как раз совет дают - попросту взглянуть на исходники любого линуксового руткита. :) и действовать по аналогии. В плане "подчистить логи"...


Что такое /var/log/wtmp
Все логи системы - обычные текстовые файлы, а этот имеет бинарный формат.
Поэтому для многих, уверен, информация о /var/log/wtmp - а в этот файл записываются все логины в систему - будет интересным сюрпризом.

Посмотреть - следующим образом:
utmpdump /var/log/wtmp
Возможно и так:
utmpdump /var/log/wtmp | grep -v 0.0.0.0
И даже так:
perl -we '@type=("Empty","Run Lvl","Boot","New Time","Old Time","Init","Login","Normal","Term","Account");$recs = ""; while (<>) {$recs .= $_};foreach (split(/(.{384})/s,$recs)) {next if length($_) == 0;my ($type,$pid,$line,$inittab,$user,$host,$t1,$t2,$t3,$t4,$t5) = $_ =~/(.{4})(.{4})(.{32})(.{4})(.{32})(.{256})(.{4})(.{4})(.{4})(.{4})(.{4})/s;if (defined $line && $line =~ /\w/) {$line =~ s/\x00+//g;$host =~ s/\x00+//g;$user =~ s/\x00+//g;printf("%s %-8s %-12s %10s %-45s \n",scalar(gmtime(unpack("I4",$t3))),$type[unpack("I4",$type)],$user,$line,$host)}}print"\n"' < /var/log/wtmp

К слову; смотрим, кто находится в системе в настоящий момент - вот так:
[aleksej@client251-47-241-77 ~]$ utmpdump /var/run/utmp
Utmp dump of /var/run/utmp
[2] [00000] [~~  ] [reboot  ] [~           ] [2.6.35.11-83.fc14.i686] [0.0.0.0        ] [Wed Mar 30 12:51:07 2011 MSD]
[1] [00053] [~~  ] [runlevel] [~           ] [2.6.35.11-83.fc14.i686] [0.0.0.0        ] [Wed Mar 30 12:51:07 2011 MSD]
[6] [01580] [2   ] [LOGIN   ] [tty2        ] [                    ] [0.0.0.0        ] [Wed Mar 30 12:51:17 2011 MSD]
[6] [01582] [3   ] [LOGIN   ] [tty3        ] [                    ] [0.0.0.0        ] [Wed Mar 30 12:51:17 2011 MSD]
[6] [01584] [4   ] [LOGIN   ] [tty4        ] [                    ] [0.0.0.0        ] [Wed Mar 30 12:51:17 2011 MSD]
[6] [01586] [5   ] [LOGIN   ] [tty5        ] [                    ] [0.0.0.0        ] [Wed Mar 30 12:51:17 2011 MSD]
[6] [01588] [6   ] [LOGIN   ] [tty6        ] [                    ] [0.0.0.0        ] [Wed Mar 30 12:51:17 2011 MSD]
[7] [01688] [:0  ] [aleksej ] [:0          ] [                    ] [0.0.0.0        ] [Wed Mar 30 12:52:56 2011 MSD]
[7] [01766] [ts/0] [aleksej ] [pts/0       ] [:0                  ] [0.0.0.0        ] [Wed Mar 30 12:53:29 2011 MSD]
[7] [18125] [ts/1] [aleksej ] [pts/1       ] [:0.0                ] [0.0.0.0        ] [Wed Mar 30 15:08:16 2011 MSD]
Последнее редактирование: 5 года 11 мес. назад от Aleksej.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.