Linux 下能否抹掉所有操作记录?命令记录,登录记录

2015-09-10 21:37:26 +08:00
 ToysMall
一台服务器怀疑被人登录了,执行了可疑操作,但是没有找到相关线索,怎么查看操作痕迹呢?
3210 次点击
所在节点    问与答
13 条回复
wanjun
2015-09-10 21:47:13 +08:00
可以清理的, 看看有没可疑进程和网络连接
lavadore
2015-09-10 21:50:15 +08:00
可以清理掉的
ToysMall
2015-09-10 22:09:07 +08:00
@wanjun 应该有登录日志,操作的 history 呀
@lavadore
lavadore
2015-09-10 22:20:47 +08:00
@ToysMall 这些很容易就清理了,日志就是普通文件,操作 history 也是普通文件, “ history -c ” 就抹掉了
0x1406F40
2015-09-10 22:42:51 +08:00
@lavadore 抹不掉,.bash_history 中依然有
ToysMall
2015-09-10 22:44:10 +08:00
@lavadore history -c 命令本身也会被记录
lavadore
2015-09-10 22:44:44 +08:00
@0x1406F40 cat /dev/null > .bash_history
lavadore
2015-09-10 22:45:37 +08:00
@ToysMall 举个例子而已,都是普通文件,直接清空就好了
xunyu
2015-09-10 22:46:18 +08:00
在 sudoer.d 里加上 mailto,一执行就发邮件通知
ryd994
2015-09-10 23:38:55 +08:00
wtmp 查登录时间
我记得是只能清空,篡改很麻烦
squid157
2015-09-11 00:58:40 +08:00
如果他拿到 root 权限了,除非你内核有一些组件,否则呵呵。没拿到 root 或者痕迹懒得清理干净,去 /var/log 下面翻翻看,默认会记录一些东西,你也可以要求系统记录更多东西
fuge
2015-09-11 07:24:14 +08:00
@lavadore 写反了吧
GPU
2015-09-11 08:32:32 +08:00
@ryd994 试过修改 wtmp 有现成的程序写好 .还算比较方便

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/219792

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX