痕迹清理 - Linux

  • A+
所属分类:安全闲碎

一、历史命令

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; 

export HISTFILE=/dev/null;

kill -9 $$ killhistory

history -c

在 HISTSIZE=0 中设置 HISTSIZE=0

 

二、清除/修改日志文件

/var/log/btmp

/var/log/lastlog

/var/log/wtmp

/var/log/utmp

/var/log/secure

/var/log/message

 

三、登录痕迹

删除 ~/.ssh/known_hosts 中记录

修改文件时间戳

touch –r

删除tmp目录临时文件


四、操作痕迹

vim 不记录历史命令 :set history=0

ssh 登录痕迹

无痕登录 ssh -T [email protected] /bin/bash –i

 

五、覆写文件

shred

dd

wipe

 

六、难点

攻击和入侵很难完全删除痕迹,没有日志记录也是一种特征

即使删除本地日志,在网络设备、安全设备、集中化日志系统中仍有记录

留存的后门包含攻击者的信息

使用的代理或跳板可能会被反向入侵

 

七、注意

在操作前检查是否有用户在线

删除文件使用磁盘覆写的功能删除

尽量和攻击前状态保持一致

 

端口转发

Windows:lcx、netsh

Linux:portmap、iptables

socket代理 Win: xsocks   Linux: proxychains

基于http的转发与socket代理(低权限下的渗透)

端口转发:tunna  socks代理:reGeorg

ssh通道  端口转发socks


本文始发于微信公众号(盾山实验室):痕迹清理 - Linux

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: