入侵 Linux 后需清除的日志及操作指南，从零基础到精通，收藏这篇就够了！

本文链接：https://blog.youkuaiyun.com/Libra1313/article/details/147517529

还在吭哧吭哧地用 echo "" > 清日志？图样图森破！作为一名在网络安全圈摸爬滚打多年的老兵，今天就来扒一扒入侵Linux系统后，如何才能真正做到“雁过不留痕”，让管理员抓瞎！

一、系统日志：别把“系统日记”当回事儿，那是定时炸弹！

系统日志？呵呵，那简直就是Linux系统的“如实记录”，你的任何小动作都可能被它记录在案。所以，别犹豫，先拿它开刀！

通用系统日志（/var/log/syslog 或 /var/log/messages）：啥都往里塞的“垃圾桶”？
- 它都记了啥？ 从系统启动、服务运行，到USB设备插拔，甚至一些莫名其妙的错误，它都可能一股脑地塞进去。简直就是个无底洞！
- 咋个清法？ 别跟我说你还用 echo "" > 这种小学生级别的操作！虽然简单粗暴，但太容易被发现了。真正的玩家，会使用logrotate这类工具，配合一些巧妙的配置，实现定时、隐蔽的日志清理。
```bash
别直接清空，用logrotate更优雅！

举个栗子，修改/etc/logrotate.d/syslog，添加或修改以下配置

/var/log/syslog {
rotate 7 #保留7个轮转日志
daily #每天轮转
missingok
notifempty
delaycompress
compress
postrotate
/usr/lib/rsyslog/rsyslog-rotate #重启rsyslog服务
endscript
}
```
（友情提示：在动刀子之前，务必确认没有程序正在写入日志，否则可能会造成数据丢失。血的教训啊！）
内核日志（/var/log/kern.log）：底层操作的“黑匣子”，藏污纳垢之地！
- 它都记了啥？ 内核驱动加载、硬件错误…… 各种底层操作，都在它的掌控之中。如果你胆敢安装恶意内核模块，它绝对会毫不留情地记录下来！
- 咋个清法？ 清空？太low了！高级玩家会选择篡改日志，将恶意操作伪装成正常的系统行为。当然，这需要对内核日志的格式和内容有深入的了解，否则容易弄巧成拙。
```bash
别再echo了，试试sed的威力，把关键信息替换掉！

比如，把恶意模块的加载信息替换成无害信息

sed -i 's/evil_module_name/harmless_module_name/g' /var/log/kern.log
```
（温馨提示：内核日志更新速度极快，下手一定要快准狠，否则新的日志又会暴露你的行踪！）

二、登录日志：管理员的“查账本”，必须涂改！

登录日志，顾名思义，记录了用户的登录信息。无论是成功还是失败，都会被它一一记录。想要瞒天过海，就必须对它进行“艺术加工”！

成功登录日志（/var/log/wtmp）：谁进谁出，一目了然？呵呵！
- 它都记了啥？ 谁在什么时间、从哪个IP登录，用 last 命令就能轻松查到。简直就是一部活生生的“用户登录史”！
- 咋个清法？ 直接清空？太没技术含量了！wtmp 文件是二进制格式，直接修改容易损坏。正确的姿势是使用 utmpdump 和 utmpcopy 命令，先将日志导出为文本格式，然后进行修改，最后再导回二进制格式。
```bash
高级玩法：先导出，再修改，最后导回！

utmpdump /var/log/wtmp > wtmp.txt #导出

编辑wtmp.txt，删除或修改相关记录

...

utmpcopy wtmp.txt /var/log/wtmp #导回
`` （顺便提一句，当前登录记录/var/log/utmp` 也别忘了处理，操作方法类似！）
失败登录日志（/var/log/btmp）：暴力破解的“证据”，黑客的噩梦！
- 它都记了啥？ 密码输错多少次、哪个IP在进行暴力破解…… 管理员最喜欢盯着这里，试图揪出那些心怀不轨的家伙。
- 咋个清法？ 一行命令清空？呵呵，太小儿科了！试试用iptables封锁恶意IP，并修改btmp日志，将暴力破解行为伪装成正常的网络扫描。
```bash
先用iptables封锁恶意IP

iptables -A INPUT -s malicious_ip -j DROP

再用sed修改btmp日志，将恶意IP替换成合法IP

sed -i 's/malicious_ip/legitimate_ip/g' /var/log/btmp
```

三、命令历史：你的一举一动，尽收眼底？不存在的！

你在终端敲下的每一行命令，都会被记录在历史文件里。想要彻底抹除痕迹，就必须把这些“黑历史”清理干净！

当前用户命令历史（~/.bash_history）：你的“操作手册”，必须销毁！
- 它都记了啥？ 你敲过的所有命令，包括查询系统信息、下载木马、开启后门…… 简直就是一部完整的“黑客犯罪实录”！
- 咋个清法？
  - 清空当前用户的历史文件？太天真了！试试用 HISTIGNORE 环境变量，忽略一些敏感命令的记录。
```bash
在~/.bashrc中添加以下配置

HISTIGNORE="ls:pwd:exit:history" #忽略ls、pwd、exit、history命令
- 退出前先清内存中的历史？亡羊补牢，为时未晚！但别忘了，这只是清除了当前会话的记录，历史文件依然存在。bash
history -c # 清当前会话记录
```
root 用户命令历史（/root/.bash_history）：至关重要的“VIP档案”，务必清除！
- 特别注意： 如果你使用了 root 权限，务必单独清理 root 用户的历史记录。否则，你的root权限操作将会暴露无遗！

四、Web 服务器日志：网站访问的“蛛丝马迹”，必须抹除！

如果目标服务器运行着网站（比如Apache/Nginx），那么Web服务器日志也必须清理。否则，你的攻击行为将会被记录在案！

Apache 日志：
- 在哪找？
  - Ubuntu/Debian 系统：访问日志 /var/log/apache2/access.log，错误日志 /var/log/apache2/error.log
  - CentOS 系统：访问日志 /var/log/httpd/access_log，错误日志 /var/log/httpd/error_log
- 咋清理？ 找到路径后，直接清空？太out了！试试用mod_rewrite模块，将恶意访问伪装成正常的页面请求。
```apache
在Apache配置文件中添加以下规则

RewriteEngine On
RewriteCond %{REMOTE_ADDR} ^malicious_ip$
RewriteRule .* /index.html [L] #将恶意IP的访问重定向到首页
```
Nginx 日志：
- 在哪找？ 默认路径比较统一：访问日志 /var/log/nginx/access.log，错误日志 /var/log/nginx/error.log
- 咋清理？ 同上，直接清空文件？太简单粗暴了！试试修改Nginx配置文件，自定义日志格式，将敏感信息排除在外。

五、其他漏网之鱼：细节决定成败！

防火墙日志（iptables）：
- 它都记了啥？ 防火墙允许/拒绝的网络流量，包括端口扫描、后门连接等。
- 在哪找？ 通常在 /var/log/iptables.log，或者混在 /var/log/messages 里，具体取决于配置。
- 咋清理？ 找到具体文件后，直接清空？试试用 ulogd 守护进程，将防火墙日志发送到远程服务器，实现集中管理和分析。
自定义应用日志：
- 注意： 某些业务系统会自定义日志（比如用户操作记录、接口调用日志）。务必手动查找路径并进行清理。

六、老鸟的肺腑之言：安全之路，永无止境！

权限是王道： 大部分日志文件都需要 root 权限才能操作。记得先 sudo su 或者直接用 root 登录。
与时间赛跑： 日志可能边清边更新。建议先停止日志服务，清理完毕后再启动。但要注意，停止服务可能会引起管理员的警觉。
bash # 停止rsyslog服务 systemctl stop rsyslog # 清理日志 # ... # 启动rsyslog服务 systemctl start rsyslog
细水长流： 不要一次性删除大量日志，以免引起管理员的注意。尽量针对性地删除或慢慢清理。
反向思维： 学习如何删除日志，是为了更好地保护日志。将日志存储到只读设备、实时同步到远程服务器，可以有效地防止日志被篡改或删除。

希望这些经验之谈能够帮助你更好地理解Linux系统的日志机制，并在网络安全领域更上一层楼。记住，安全不是一蹴而就的，而是一个持续学习和实践的过程。加油吧，少年！
```