리눅스 접속 흔적 변조/없애기
이것은 물론 일반계정일경우에는 가능하지않을수도있습니다.
root권한을 얻을수있는 사람이나, 혹은 root권한으로 파일을 쓸수있으면 가능합니다.
혹은 /etc/hosts에 쓰기가 가능하면 가능합니다.
일반적으로 내부사용자를 보려면 w 나 finger등을 사용하는데, 서버로 접속한사람
의 주소가 나타나기 마련입니다, 물론 그주소로 로그에도 남겠죠..
/etc/hosts를 이용하여 트릭을 이용하여 속일수가 있습니다.
내가 접속하는 아이파가 192.168.0.5라고 하면
w를 하면 아시겠지만
9:58am up 17:40, 5 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root tty1 - Wed 4pm 11:31 3.57s 2.44s ./sniffit -I
secret pts/2 192.168.0.5 9:46am 0.00s 0.14s 0.02s w
/etc/hosts에
192.168.0.5 jpl.nasa.gov
라고 추가해줍니다.
로그아웃후에 다시 로그인합니다.
로그인후에 w를 해보시면
9:58am up 17:40, 5 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root tty1 - Wed 4pm 11:31 3.57s 2.44s ./sniffit -I
secret pts/2 jpl.nasa.gov 9:46am 0.00s 0.14s 0.02s w
라스트로그는?
# lastlog
Username Port From Latest
root pts/1 192.168.0.101 Thu Mar 21 09:52:38 -0500 2002
bin **Never logged in**
daemon **Never logged in**
adm **Never logged in**
lp **Never logged in**
sync **Never logged in**
shutdown **Never logged in**
halt **Never logged in**
mail **Never logged in**
news **Never logged in**
uucp **Never logged in**
operator **Never logged in**
games **Never logged in**
gopher **Never logged in**
ftp **Never logged in**
nobody **Never logged in**
nscd **Never logged in**
apache **Never logged in**
mailnull **Never logged in**
gdm **Never logged in**
mysql **Never logged in**
snort **Never logged in**
ident **Never logged in**
rpc **Never logged in**
rpcuser **Never logged in**
xfs **Never logged in**
secret pts/2 jpl.nasa.gov Thu Mar 21 09:46:19 -0500 2002
last 는?
last secret | more
secret pts/2 jpl.nasa.gov Thu Mar 21 09:46 still logged in
secret pts/2 jpl.nasa.gov Thu Mar 21 09:42 - 09:46 (00:03)
이렇게 됩니다.
원래는 접속자의 ip가 뜨게되죠..
물론 기법으로 사용할만큼 좋은 정보는 아닌것같습니다만 재미로? 혹은
가지고노는서버에 자주들락거릴때?
혹은 자신이 자주 이용하는서버에서 자신의 위치를 숨길때?
좋겠내요..
/etc/hosts에 물론 진짜 ip가 있습니다
