Linux 下能否抹掉所有操作记录？命令记录，登录记录

This topic created in 3923 days ago, the information mentioned may be changed or developed.

一台服务器怀疑被人登录了，执行了可疑操作，但是没有找到相关线索，怎么查看操作痕迹呢？

13 replies • 2015-09-11 08:32:32 +08:00

wanjun

Sep 10, 2015

可以清理的, 看看有没可疑进程和网络连接

lavadore

Sep 10, 2015

可以清理掉的

ToysMall

Sep 10, 2015

@wanjun 应该有登录日志，操作的 history 呀
@lavadore

lavadore

Sep 10, 2015

@ToysMall 这些很容易就清理了，日志就是普通文件，操作 history 也是普通文件, “ history -c ” 就抹掉了

0x1406F40

Sep 10, 2015

@lavadore 抹不掉，.bash_history 中依然有

ToysMall

Sep 10, 2015

@lavadore history -c 命令本身也会被记录

lavadore

Sep 10, 2015

@0x1406F40 cat /dev/null > .bash_history

lavadore

Sep 10, 2015

@ToysMall 举个例子而已，都是普通文件，直接清空就好了

xunyu

Sep 10, 2015 via Android

在 sudoer.d 里加上 mailto,一执行就发邮件通知

ryd994

Sep 10, 2015 via Android

wtmp 查登录时间
我记得是只能清空，篡改很麻烦

squid157

Sep 11, 2015 via iPhone

如果他拿到 root 权限了，除非你内核有一些组件，否则呵呵。没拿到 root 或者痕迹懒得清理干净，去 /var/log 下面翻翻看，默认会记录一些东西，你也可以要求系统记录更多东西

fuge

Sep 11, 2015 via iPhone

@lavadore 写反了吧

GPU

Sep 11, 2015

@ryd994 试过修改 wtmp 有现成的程序写好 .还算比较方便