浅谈在渗透测试中如何清理痕迹

在渗透测试中，清除痕迹可以很好的保护自己。在Linux系统中，如何有效的清除使用痕迹呢？不妨看看这篇文章吧！

SSH登录记录

在Linux系统中，我们可以在/var/log/secure查看登录系统的各项记录。常用的两个命令如下：

lastb #查看登录失败的日志
last #最近登录的记录

主要记录了登录用户名、登录者IP地址、运行时间等信息。那该如何隐藏远程SSH登陆记录呢？我们不妨可以试试下面的命令：

ssh -T root@192.0.0.1 /bin/bash -i

-T表示不分配伪终端，/usr/bin/bash表示在登录后调用bash命令 -i表示是交互式shell

history记录

history记录了，我们每步执行的Linux命令。如我们执行history命令，可以查看历史命令记录。

要想执行的命令不被记录。我们可以在退出系统时执行下面命令来清除记录。

history -r  

修改文件时间

当我们新建一个文件，或者对文件修改后，文件会按最新的时间保存。故而管理员可以根据日期的变化来确定被修改或者新增的文件。如何将文件修改成为几天前的文件呢？

touch -r a.txt b.php #使b.php文件时间变得和a.txt文件相同

清除系统日志

在Linux中，存在很多的日志文件，记录了各类服务运行过程中的记录。而对日志文件的审查是网安工作的核心。常见的日志文件主要在/var/log目录下。（不同系统，文件位置可能有差异。）

常用清除日志的方法有：

直接覆盖日志文件

echo > /var/log/apache2

删除所有匹配到字符串的行,比如以当天日期或者自己的登录ip

sed  -i '/你的ip/'d  /var/log/messages

以上就是我们最常用的痕迹清理方法了。当然还有些更微妙的隐藏手段，我们在后期的学习中还会给大家讲解。