Hier mal ein paar kleine Dinge zusammengeschrieben wie man sich auf Linux Systemen verstecken kann. Was man als Sysadmin dagegen tun kann gibt es dann in dem nächsten Blogpost
- Wenn man den Output von den Kommandos lastlog, last oder lastb leeren möchte hilft folgendes:
user@host ~ $ >/var/log/lastlog user@host ~ $ >/var/log/wtmp user@host ~ $ >/var/log/btmp
- Befehle die mit vorangestellten zwei Leerzeichen ausgeführt werden sind normalerweise nicht der History sichtbar
user@host ~ $ cat /var/www/foo/mysql.inc.php
- Kommandos nicht in die History schreiben:
user@host ~ $ export HISTSIZE=0
- PROMPT_COMMAND resetten:
user@host ~ $ export PROMPT_COMMAND=""
- History löschen und Shell beenden:
user@host ~ $ unset HISTFILE && exit
- Prozesse verstecken kann man, indem man ein leeres Verzeichnis über ein /proc/PID Verzeichnis mountet. Den Mount wiederum kann man auch verstecken:
user@host ~ $ mkdir /tmp/foo user@host ~ $ cp /etc/mtab /tmp/t user@host ~ $ mount --bind /tmp/foo /proc/PID user@host ~ $ mv /tmp/t /etc/mtab
Weiteres gerne in die Kommentare.
Update 1, 25.07.2015:
https://twitter.com/lordcoke/status/623942954135257088