文档介绍：-
. z.
uni*类系统日志的去除
默认分类2021-02-17 23:13  阅读91   评论0 
字号： 大中小
由于涉及的系统广泛的问题，不可能将所有uni*类系统的日lastlog记录每个用户的最近一次的登陆时间和每个用户的最初目的地．  
-
. z.
当一个用户登陆到uni*系统时，注册程序在lastlog文件中查找该用户的uid ,如果该程序找到了该用户的uid,uni*就会显示最后一次登陆的时间和TTY(终端号)  
下面是一个例子：  
SunOS   
login: gao  
Password:  
No directory! Logging in with home=/  
Last login: Sun Feb 4 22:18:25 from   
Sun Microsystems Inc. SunOS Generic October 1998 $  
.然后注册程序用新的登陆时间和TTY信息更新lastlog文件，而且该程序带更新utmp ．  
utmp  
utmp 日志记录以前登陆到系统中的所有用户．这个文件随着用进入和离开系统而不断的变化．它还会为系统中的用户保持很长的历史记录，utmp日志通常存储在/etc/utmp，可以使用w 和who ．：〕比方finger *文件做为日志记录的补充．别忘了擦这个pp哦．：〕  
wtmp  
wtmp文件记录用户登陆和退出事件，它和utmp类似．但它随着登陆的次数的增加它会变得越来越大．有些系统的ftp访问也在这个文件里记录．同时它也记录正常的系统退出时间．可以使用last和ac命令访问它．  
syslog & messages  
通过查看/etc/．：〕  
很多各种各样的程序产生的日志都由它记录．  
同时它还有一个syslogd进程为它效劳．  
在缺省时，它把大多的信息传给/var/adm/messages  
sulog  
sulog为切换用户命令su的使用记录日志．  
-
. z.
他通常在/var/adm/sulog  
如果你在机器上用过su命令,别忘了去除掉哦．：〕  
shell记录  
.sh_history(ksh)，.history(csh)，(bash)等，是shell执行时的历史记录．记录用户执行的命令．它一般存在于用户的主目录．别忘了去根目录看看哦．我入侵机器时，也经常能发现别人的hacking记录哦．：〕所以你一定要记得去除．  
．最笨的方法是用文本编辑器来编辑日志文件．删除相关的记录．来到达擦拭脚印和隐藏自己的效果．  
比方用vi等  
但这样做是很笨的．太麻烦，工作量太大．  
如果有50台机器要你处理，则，呵呵．．．．看你忙到什么时候  
：〕  
*时．经常用rm -f 来删掉日志．比方rm -f /usr/adm/lastlog  
呵呵　  
这样做是很蠢的．  
更容易被管理员发现有人入侵．但是，相对来说自己还是保护好了．：〕  
可以用在一些不太重要的机器上．  
> 定向符去除．  
比方：  
#cat > /usr/log/lastlog  
　　－＞这里输入你要的写的东西．最好伪装得像一些，也可以不输入哦．：〕  
^d　－＞这里的^d是按键 ctrl + d.  
#  
如果上战场没有带日志去除工具，我一般也用这个去除的．：〕省事  
要不找几个旧的日志覆盖它：〕  
-
. z.
==========================================================  
．  
输入几个命令让程序帮你擦：〕  
．  
　一般的rootkit包里有的:   
很容易找到．  
网上的教程很多都是介绍这两个工具的使用的．  
这里我就不再论述了．：〕节省时间．  
．  
clean