侵入の証拠となるログを消去しておかなければ、侵入したことはすぐにバレます。
しかし、実はこのログファイル、一つではないのです。
その全てを消去しておかなければ、一つでも消し忘れがあれば追跡が掛かるでしょう。
しかも、厄介なことにUNIXの種類によって、ログファイルの位置は全然違います。
また、管理者がセキュリティ意識の高い人物だった場合、規定の場所以外にログファイルを置いている可能性もありますし、
専用のログ取得システムが記録をとっている事もあります。
その場合は、どうしようもありません。侵入した先で消せるのはあくまで同一システム内のログです。サーバと連動する別体型のログ取得システムなどが使われている場合、システムの設置場所まで乗り込んで、ログ取得システムそのものを破壊しなければログは消せません。
消しておくべきファイルは、標準設定で8個あります。
1.telnet、rlogin、ftpのログイン、ログアウト記録
普通は/var/adm/wtmpか、var/adm/wtmpxファイルです。UNIXの種類によって変化します。
このログの場合、テキストエディタでの編集は不可能ですので、専用ツールが必要です。
2.コマンドの実行履歴
ホームディレクトリに「.history」「.sh_history」「.bash_history」などのファイルがある場合、コマンド実行履歴が保存されています。テキストエディタで編集可能ですので、自分の足跡をざっくり削除してしまいましょう。
3.syslog、messages
システムログ、エラーメッセージログです。侵入してから後の動きのほとんどが記録されています。
これもテキストエディタで編集、削除が可能です。
4.sulog
root権限をとる為に使用したsuidプログラムが残すログです。テキストエディタで編集できます。
5.lastlog
「この前はいつ、どこからログインしたのか」という記録を残しているファイルです。
これもテキストエディタでは編集不可ですので、専用ツールで消去します。
6.現在ログインしているユーザ情報
/var/adm/utmpファイルに保存されています。この消去にも専用ツールが必要です。
7.consoleログ
コンソールというデバイスに出力される情報の記録です。ハードウェア障害やリモートログインなどの情報が記録されます。messagesやsyslogと同様の内容です。/dev/consoleに大量の意味不明な文字列を送ることで消去します。
8.httpdログ
acces_logやerror_logが残っています。前述のCGI-Exploitで侵入した場合はログが残っています。
以上ですが、管理者が他にもログをとっている場合、それも削除しておかねばなりません。
管理者が他のログを取っているかどうかは、侵入者の勘の鋭さにかかってきます。
もちろん、特定のファイルを探し出す技術に長けていれば、別ログのファイルも探し当てることが出来るでしょう。
以上、非常に長い文章になりましたが、多少古い情報の為、これを知っても即席ハッカーにすらなれません。
ここに書かれている侵入手段などは、数年前から一般化した手口のほんの一例です。
現在はセキュリティー技術(というより意識)が高まっており、これらの技術は通用しない可能性が高いです。
(もちろん、未だに通用してしまうアマいサーバもあるようですが)
何より、以前にも書きましたが、今は法律(不正アクセス防止法)が施行された為、下手にハッカーの真似事をすると確実に捕まります。