Linux 日志文件一般包括如下:
(1) /var/log/messages:每一行包含日期、主机名、程序名,接着是PID或内核标识,最后是消息;文本文件
(2) /var/log/wtmp:永久记录每个用户登录、注销及系统的启动和关机事件,用来查看用户的登录记录,last命令通过访问这个文件获得信息;二进制文件,使用last命令查看
(3) /var/run/utmp:记录有关当前登录的每个用户的信息,文件内容随着用户登录和注销系统而不断变化,它只保留联机用户的记录,不会保留永久记 录,系统程序如who、w、users、finger等就需要访问这个文件;二进制文件,使用w命令查看
(4) /var/log/lastlog:记录最近几次成功登录的事件和最后一次不成功的登录事件;二进制文件 使用lastlog命令查看
(5) /var/log/syslog:记录所有的系统事件。文本文件
1、直接删除日志:攻击者可以暴力使用shred或rm命令直接删除日志文件,但是这相当于告诉管理员系统已经被入侵,通常只修改日志文件而不是进行删除
2、修改日志文件:messages和syslog日志都是文本文件,可以直接使用文本编辑器vim等手动修改,示例以messages日志为例,如下
修改完成后,可以使用touch命令修改日志文件的访问时间和修改时间
touch -r lastlog messages
或者使用-t参数自定义文件的时间戳。
当攻击者使用ssh 或者telnet等客户端登录时,所有的操作命令都会记录在shell 的相应历史(history)文件中,例如bash会在用户主目录的“.bash_history”(该文件默认具有隐藏属性)文件里记录所有操作的命令。因此,进入系统时首先要禁止Linux记录这些操作,可以使用unset命令清除相应的环境变量。
执行如下命令后,系统将不再记录历史命令:最为明显的现象就是我们按上下键时,不再显示历史命令。
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG
export HISTFILE=/dev/null
export HISTSIZE=0
export HISTFILESIZE=0
utmp、wtmp和lastlog日志文都是二进制文件,不能通过文本编辑器直接修改,需要借助第三方日志管理工具进行,如下:
一、Logtamper:https://github.com/re4lity/logtamper v1.1
python logtamper.py -m 2 -u root -i 192.168.57.129
python logtamper.py -m 1 -u root -i 192.168.57.129
python logtamper.py -m 3 -u root -i 192.168.57.129 -t tty1 -d 2019:06:22:09:30:30
结果
2.wtmpclean:https://github.com/madrisan/wtmpclean v0.6.2(探究)
二、应用痕迹
apache mysql
sed -i 's/192\.168\.57\.133/1\.1\.1\.1/g' /var/log/apache2/access.log
