痕迹清理

admin 2022年10月27日21:41:33评论78 views字数 1446阅读4分49秒阅读模式

windows 痕迹清理

1、清除 powershell 历史记录
powershell Remove-Item (Get-PSReadlineOption).HistorySavePath
2、清除 cmd 历史记录
doskey /reinstall
3、修改文件时间戳
创建时间修改
$(Get-Item filename).creationtime=$(Get-Date "2/4/2021 08:9 am")

访问时间修改
$(Get-Item filename).lastaccesstime=$(Get-Date "2/4/2021 08:9 am")

修改时间修改
$(Get-Item filename).lastwritetime=$(Get-Date "2/4/2021 08:9 am")
4、日志清理
  • 一把梭哈
net stop eventlog    # 停止服务
del c:WindowsSystem32WinevtLogs* /Q
  • 3389痕迹清除脚本
echo off
reg delete HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault /va /f
del %USERPROFILE%My DocumentsDefault.rdp /a
exit
工具:
https://github.com/QAX-A-Team/EventCleaner

linux痕迹清理

1、隐藏 bash 历史命令
  • 就是在命令前面加上 空格,history 就不会记录了
 whaomi   //whomai前面有个空格

这种情况在一些系统上面会失效,原因就是 .bashrc 中的 HISTCONTROL 配置

HISTCONTROL=ignoredups:忽略连续重复的命令。
HISTCONTROL=ignorespace:忽略以空白字符开头的命令。
HISTCONTROL=ignoreboth:同时忽略以上两种。
HISTCONTROL=erasedups:忽略所有历史命令中的重复命令。
2、删除 history 记录
  • 清除历史操作命令(清除之后 ~/.bash_history 还是会有记录)
history -c
  • 删除~/.bash_history记录
rm ~/.bash_history
ln -s /dev/null ~/.bash_history

疯狂一点直接链接到空目录下,在这之后操作的任何 bash 记录都是空的。

3、删除 mysql 链接记录 .mysql_history
echo > ~/.mysql_history
4、web日志清理

web 日志一般在 /var/log 目录下面,有些中间件会在这个目录下创建单独的文件夹来存日志。

sed -i -e '/192.169.1.1/d

这里直接删除,替换的话很容易遗留 payload,但是这种直接删除的情况会出现日志断层(一般的网站每段时间都是会有用户访问的,即使没有正常用户也会有爬虫访问), 这种情况可以把前面的一个时间段的日志也删除一下造成多个日志断层用来混淆。

工具:
https://github.com/Macr0phag3/LLC


有些环境会把日志转发到单独的日志服务器上,linux 有 syslog,windows 有域日志转发。只删除本地日志是没用的,而且日志服务器就开一两个端口基本没有突破点。

还有一种就是部署了防火墙,服务器上面装有探针,web 的日志会直接记录到防火墙上面,而且记录的是完整的数据包,探针会在本地日志中收集 https 的 key 用来解密 https 流量并且记录到防火墙中。

原文始发于微信公众号(海狮安全团队):痕迹清理

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月27日21:41:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   痕迹清理http://cn-sec.com/archives/1374622.html

发表评论

匿名网友 填写信息