一、历史命令
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG;
export HISTFILE=/dev/null;
kill -9 $$ killhistory
history -c
在 HISTSIZE=0 中设置 HISTSIZE=0
二、清除/修改日志文件
/var/log/btmp
/var/log/lastlog
/var/log/wtmp
/var/log/utmp
/var/log/secure
/var/log/message
三、登录痕迹
删除 ~/.ssh/known_hosts 中记录
修改文件时间戳
touch –r
删除tmp目录临时文件
四、操作痕迹
vim 不记录历史命令 :set history=0
ssh 登录痕迹
无痕登录 ssh -T user@host /bin/bash –i
五、覆写文件
shred
dd
wipe
六、难点
攻击和入侵很难完全删除痕迹,没有日志记录也是一种特征
即使删除本地日志,在网络设备、安全设备、集中化日志系统中仍有记录
留存的后门包含攻击者的信息
使用的代理或跳板可能会被反向入侵
七、注意
在操作前检查是否有用户在线
删除文件使用磁盘覆写的功能删除
尽量和攻击前状态保持一致
端口转发
Windows:lcx、netsh
Linux:portmap、iptables
socket代理 Win: xsocks Linux: proxychains
基于http的转发与socket代理(低权限下的渗透)
端口转发:tunna socks代理:reGeorg
ssh通道 端口转发、socks
本文始发于微信公众号(盾山实验室):痕迹清理 - Linux
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论