崔先生的笔记

1	`cat /var/log/wtmp`

解决方案:

# 更改其中的 ip
vim /var/log/wtmp
# 删除
rm /var/log/wtmp

执行last 命令的时候，就会看不到当前登录的 ip 信息

1 2	`# 显示登录成功的用户名单 $: last`

1	`cat /var/log/btmp`

因为是二进制文件，根据自己的 ip 进行 grep 的操作如下:

1 2	`# ip 为，39.156.x.x 的时候，搜 39 或者 156，看下有相同的 cat /var/log/btmp \| grep -a 156`

解决方案同 1 中的。

1 2	`# 显示登录失败的用户名单 $: lastb`

# 清除
history -c
# 查看历史执行命令，发现已经没有  
history
# 解决方案 2:  使用 echo 清空文件
echo "" > ~/.bash_history

显示系统中所有用户最近一次登录信息。

可以直接看到我们的 ip 痕迹。

解决方案：

1 2	`# 二进制文件直接删除 rm /var/log/lastlog`

/var/log/secure

1 2	`# 在 /var/log/secure 查找你的 ip ，例如 cat /var/log/secure \| grep 36.22.225.1 这样 cat /var/log/secure \| grep xx.xx.xx.xx`

如果有输出，就使用 vim 进入删除即可。

/var/log/audit/ 目录下

1	`ls /var/log/audit/`

解决方案:

# 空值写入
echo "" > /var/log/audit/audit.log
# 删除
rm /var/log/audit/audit.log

其余几个 audit*.log 尝试用 grep 搜索自己的 ip,找到后使用上述解决方案。

vim 操作文件后，后保留日志，我们来看一下：

1	`cat ~/.viminfo`

找了一些部分修改此文件的命令，未测试，遇事不决，建议直接删除。

1	`rm -rf ~/.viminfo`

1
2
3

ssh -T root@xx.ip.xx.xx /bin/bash -i
# 示例
ssh -T root@172.10.1.168 /bin/bash -i

登录成功后:

1 2	`$: last # 此命令查不到 $: lastb # 此命令查不到`

让我们去看下日志:

1 2	`# 存在痕迹 cat /var/log/secure`

此时最好不好删除，此文件日志多，直接删除引起管理员注意。

1
2
3

# 匹配自己 ip 进行替换
sed -i 's/自己的ip/要换成的ip/g' /var/log/messages
sed -i 's/自己的ip/要换成的ip/g' /var/log/secure

上述命令执行完后:

cat /var/log/secure 后发现 ip 已经变为自己想替换成的 ip .

https://cuifuan.github.io/2022/08/11/linux/Linux清除登录痕迹/

作者

cuifuan

发布于

2022年8月11日

许可协议