Metasploitable のログ消去
ログの消去、改ざんにより
アタックの隠蔽、追跡逃れの可能性があがる
Linux の場合
ログファイルは
/var/log ディレクトリに格納されていることが多い
/var/log/btmp
ログイン失敗の記録
lastb コマンド で閲覧
/var/log/wtmp
ログイン成功の記録
last コマンドで閲覧
/var/log/lastlog
ユーザの最終ログインの記録
lastlog コマンドで閲覧
/var/faillog
ユーザのログイン失敗回数の記録
faillog コマンドで閲覧
/var/log/tallylog
ユーザのログイン失敗回数の記録
pam_tally2 コマンドで閲覧
これらのログファイルはバイナリファイルなので
内容の閲覧には専用コマンドを使う
ログ消しのために
rm コマンドを使ってもデータが見えなくなるだけで存在する
これは rm コマンドの場合
ファイルの iノードを指すリンクは削除されるけど
i ノードそのものは残っている
ショートカットを消したようなものでアンインストールしていないようなかんじ
完全に削除するには
shred コマンドを使い
3回ランダム情報を書き込み
最後にゼロで上書きしてからファイルを削除する
オプションなどについては
shred – ファイルを完全に削除 – Linuxコマンド
を参考に
1 | sherd -n 3 -zu /var/log/messages |
とすれば
-n 3 によりランダム情報を3回書き込み
-z で最後にゼロで上書き
-u で shred 終了後にファイルを削除
となる
ファイルの中身のみ削除するなら
1 | > /var/log/messages |
というようにリダイレクトを使う
これでファイルは残るが中身はなくなる
次にコマンド履歴の削除
↑キーを押すとコマンド履歴を出せる
KaliLinux の場合
bash は最新1000のコマンドを記録している
metasploitable の場合を調べるのなら
1 | ssh msfadmin@192.168.1.137 |
で一度ログインし
1 | echo $HISTSIZE |
で調べると 500 であることがわかる
$HISTSIZE で設定されているので
1 | export HISTSIZE=0 |
とすることで履歴が残らないように設定
1 | > ~/.bash_history |
とすれば履歴の消去ができる