痕迹清理

windows 痕迹清理

1、清除 powershell 历史记录

powershell Remove-Item (Get-PSReadlineOption).HistorySavePath

2、清除 cmd 历史记录

doskey /reinstall

3、修改文件时间戳

创建时间修改
$(Get-Item filename).creationtime=$(Get-Date "2/4/2021 08:9 am")

访问时间修改
$(Get-Item filename).lastaccesstime=$(Get-Date "2/4/2021 08:9 am")

修改时间修改
$(Get-Item filename).lastwritetime=$(Get-Date "2/4/2021 08:9 am")

4、日志清理

• 一把梭哈

net stop eventlog    # 停止服务
del c:WindowsSystem32WinevtLogs* /Q

• 3389痕迹清除脚本

echo off
reg delete HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault /va /f
del %USERPROFILE%My DocumentsDefault.rdp /a
exit

工具：

https://github.com/QAX-A-Team/EventCleaner

linux痕迹清理

1、隐藏 bash 历史命令

• 就是在命令前面加上 空格，history 就不会记录了

 whaomi   //whomai前面有个空格

这种情况在一些系统上面会失效，原因就是 .bashrc 中的 HISTCONTROL 配置

HISTCONTROL=ignoredups：忽略连续重复的命令。
HISTCONTROL=ignorespace：忽略以空白字符开头的命令。
HISTCONTROL=ignoreboth：同时忽略以上两种。
HISTCONTROL=erasedups：忽略所有历史命令中的重复命令。

2、删除 history 记录

• 清除历史操作命令（清除之后 ~/.bash_history 还是会有记录）

history -c

• 删除~/.bash_history记录

rm ~/.bash_history
ln -s /dev/null ~/.bash_history

疯狂一点直接链接到空目录下，在这之后操作的任何 bash 记录都是空的。

3、删除 mysql 链接记录 .mysql_history

echo > ~/.mysql_history

4、web日志清理

web 日志一般在 /var/log 目录下面，有些中间件会在这个目录下创建单独的文件夹来存日志。

sed -i -e '/192.169.1.1/d

这里直接删除,替换的话很容易遗留 payload，但是这种直接删除的情况会出现日志断层（一般的网站每段时间都是会有用户访问的，即使没有正常用户也会有爬虫访问）， 这种情况可以把前面的一个时间段的日志也删除一下造成多个日志断层用来混淆。

工具：

https://github.com/Macr0phag3/LLC

有些环境会把日志转发到单独的日志服务器上，linux 有 syslog，windows 有域日志转发。只删除本地日志是没用的，而且日志服务器就开一两个端口基本没有突破点。

还有一种就是部署了防火墙，服务器上面装有探针，web 的日志会直接记录到防火墙上面，而且记录的是完整的数据包，探针会在本地日志中收集 https 的 key 用来解密 https 流量并且记录到防火墙中。