#sysadmin Teil 1: Wie man sich auf Linux Systemen verstecken kann

Hier mal ein paar kleine Dinge zusammengeschrieben wie man sich auf Linux Systemen verstecken kann. Was man als Sysadmin dagegen tun kann gibt es dann in dem nächsten Blogpost

  • Wenn man den Output von den Kommandos lastlog, last oder lastb leeren möchte hilft folgendes:
    user@host ~ $ >/var/log/lastlog
    user@host ~ $ >/var/log/wtmp
    user@host ~ $ >/var/log/btmp
  • Befehle die mit vorangestellten zwei Leerzeichen ausgeführt werden sind normalerweise nicht der History sichtbar
    user@host ~ $   cat /var/www/foo/mysql.inc.php
  • Kommandos nicht in die History schreiben:
    user@host ~ $ export HISTSIZE=0
  • PROMPT_COMMAND resetten:
    user@host ~ $ export PROMPT_COMMAND=""
  • History löschen und Shell beenden:
    user@host ~ $ unset HISTFILE && exit
  • Prozesse verstecken kann man, indem man ein leeres Verzeichnis über ein /proc/PID Verzeichnis mountet. Den Mount wiederum kann man auch verstecken:
    user@host ~ $ mkdir /tmp/foo
    user@host ~ $ cp /etc/mtab /tmp/t
    user@host ~ $ mount --bind /tmp/foo /proc/PID
    user@host ~ $ mv /tmp/t /etc/mtab

Weiteres gerne in die Kommentare.

Update 1, 25.07.2015:

Eintrag aus bash History loeschen

Wie oft ist es mir schon passiert, dass ich ein sudo su gefolgt von einem Passwort eingegeben hatte und dann war der sudo su wegen eines zu vorigen erfolgreichen Eingebens bereits ohne Passworteingabe erfolgreich und das Passwort stand in der bash history. Gefuehlte 1000000000 mal. Den Befehl nun aus der bash history zu loeschen kann man auf unterschiedliche Weisen tun. Das schnellste ist sicherlich ein

rm ~/.bash_history

womit man aber auch gleich alles verliert.

Das zweite was man machen kann ist die Datei mit dem Editor seiner Wahl zu oeffnen, die entsprechende Zeile loeschen, abspeichern, und ggfs. erstelle Sicherungskopien von der Datei (wie z.B. die von joe gemachte .bash_history~) zu loeschen.

Der dritte und wohl bequemste Weg ist mit dem Befehl history. Dieser zeigt die bash History an und mit dem Schalter -d kann man daraus loeschen:

jan@desktop:~$ history 5
  504  sudo aptitude safe-upgrade
  505  vim foobar
  506  sudo su
  507  mysecretpassword
  508  history 5
jan@desktop:~$ history -d 507
jan@desktop:~$ history 5
  505  vim foobar
  506  sudo su
  507  history 5
  508  history -d 507
  509  history 5
jan@desktop:~$