Limpeza de Logs
Arquivos de Log
ARQUIVO
DESCRIÇÃO
/var/logs
Diretório onde pode encontrar diversos tipos de Logs
/var/log/auth.log
Logs de falha e sucesso de autenticações em serviços SSH, sudo, etc
/var/log/syslog
Todos os logs que o SysLog registra
/var/log/messages
Mensagens
/var/log/apache2/access.log
Log de acesso do Apache
/var/log/apache2/error.log
Log de erros do Apache
Limpando Logs
Para limpar logs, geralmente é preciso ter privilégios root. Abaixo segue um comando para remover todos os logs que contém determinado IP
grep -v '<ip>' </path/to/access_log> > a && mv a </path/to/access_log>
OBS.: Atente-se ao .
(ponto) no IP, pois o grep
pode tratar esse ponto como uma expressão regular
Lendo Logs
Alguns logs são salvos como binários e não como arquivos de texto. O que pode dificultar um pouco o manuseio dos mesmos. Para ler esses arquivos, não utilize cat
, mas sim comandos como: who
, last
e lastlog
who /var/log/wtmp
Limpando Histórico de Comandos
Por padrão o arquivo que armazena o histórico de comandos é o ~/.bash_history
, porém este pode ser alterado. Verifique nas variáveis de ambiente com o comando echo $HISTFILE
para saber onde esse arquivo se localiza.
Agora para limpar o histórico, basta executar o comando abaixo:
cat /dev/null > ~/.bash_history
# ou
cat /dev/null > `echo $HISTFILE`
Removendo Arquivos de Maneira Segura
Desse modo, não irá deixar rastros
shred -zu <file>
Meterpreter
Quando estiver com acesso ao Meterpreter, execute:
irb
log = client.sys.eventlog.open('system')
log.clear
BadAttachK
Caso não tenha o BadAttack compilado, entre no diretório onde está o arquivo badattachk-0.3r2.c
e digite:
gcc -Wall -D_DEBUG badattachk-0.3r2.c -o badattach
Agora para limpar os logs do seu usuário em /var/log/auth.log
, digite:
./badattach 'ps -C syslogd -o pid='
OBS.: Caso dê erro, troque o '
por ´
Limpando um USB Contra Rastros
Primeiro verifique a partição do USB com um dos comando abaixo:
dmesg
tail -f /var/log/syslog
Removendo Logs de Usuário
Execute o seguinte comando para remover Logs de determinado usuário em /var/log/wtmp
:
./logcleaner-ng -w /var/log/wtmp -u <usuario> -r root
Desmonte o USB com sudo umount /dev/<partition>
, que geralmente é um sda
.
Agora vamos escrever "zeros" no USB com o comando
sudo dd if=/dev/zero of=/dev/<partition> bs=1k count=2048 status=progress
Depois escrevemos um novo sistema de arquivos no dispositivo
sudo mkfs.ext4 -L "NameOfVolume" /dev/<partition>
OBS.: Utilize ntfs
ou vfat
para trabalhar futuramente com Windows
Last updated
Was this helpful?