Linux Log Files – Spuren nach einem Hack verwischen

Wenn ein Linux-System gehackt wird, entstehen zahlreiche Spuren in Log-Files. Im folgenden wird erläutert, wie als Angreifer Spuren auf einem kompromittiertem System vermieden werden können.

Histsize

Nachdem es gelungen ist, eine Shell zu erlangen, werden normalerweise alle eingegeben Befehle im jeweiligen Homeverzeichnis in der Historie der Bash gespeichert.

~/.bash_history

Eine Möglichkeit, die Spuren zu verwischen, ist die manuelle Löschung der eingegebenen Befehle. Eine elegantere Methode ist, die Umgebungsvariable “Histsize” zu begrenzen. Mit dem Befehl “echo” kann angezeigt werden, wie viele der letzten eingegebenen Befehle in der Historie (bash_history) gespeichert werden.

echo $HISTSIZE

Setzt man den Wert mit dem Kommando “export” auf Null, so speichert die Shell keine Eingaben in die Historie.

export HISTSIZE=0

Falls schon mehrere Befehle eingeben wurden, dann einfach Ab- und Anmelden, um den Verlauf zu löschen, nachdem die HISTSIZE auf Null gesetzt wurde.

Shred

Falls die Zeit knapp sein sollte, kann der Befehl “shred” verwendet werden, um die History-Datei zu löschen. Mit diesem Kommando können Dateien überschrieben werden.

shred -zu root/.bash_history

Der Parameter “z” überschreibt die Datei mit Nullen und der Parameter “u” löscht die Datei, nachdem diese überschrieben ist.