0x00 前言
last登录日志不是明文日志,很难伪造,只有被清空才能隐藏痕迹。但是直接清空的后果就是,管理员会发现异常,因为last不可能是空的。
0x01 查看登录日志
命令 | 日志文件路径 | 功能 |
---|---|---|
last | /var/log/wtmp | 所有成功登录/登出的历史记录 |
lastb | /var/log/btmp | 登录失败记录 |
lastlog | /var/log/lastlog | 最近登录记录 |
0x02 清空记录
因为last等日志是二进制文件,无法直接修改。
所以最简单的方法是清空日志文件本身
# echo > /var/log/wtmp
# echo > /var/log/btmp
# echo > /var/log/lastlog
查看和清空lastb日志 需要root权限