Linux 入侵痕迹清理技巧
文章目录
- 01、清除history历史命令记录
- 02、清除系统日志痕迹
- 03、清除web入侵痕迹
- 04、文件安全删除工具
- 05、隐藏远程SSH登陆记录
在攻击结束后,如何不留痕迹的清除日志和操作记录,以掩盖入侵踪迹,这其实是一个细致的技术活。你所做的每一个操作,都要被抹掉;你所上传的工具,都应该被安全地删掉。
01、清除history历史命令记录
查看历史操作命令:
查看历史操作命令:history
history记录文件:more ~/.bash_history
第一种方式:
(1)编辑history记录文件,删除部分不想被保存的历史命令。
vim ~/.bash_history
(2)清除当前用户的history命令记录
history -c
第二种方式:
(1)利用vim特性删除历史命令
复制代码
#使用vim打开一个文件
vi test.txt
设置vim不记录命令,Vim会将命令历史记录,保存在viminfo文件中。
:set history=0
用vim的分屏功能打开命令记录文件.bash_history,编辑文件删除历史操作命令
vsp ~/.bash_history
清楚保存.bash_history文件即可。
复制代码
(2)在vim中执行自己不想让别人看到的命令
:set history=0
:!command
第三种方式:
通过修改配置文件/etc/profile,使系统不再保存命令记录。
HISTSIZE=0
第四种方式:
登录后执行下面命令,不记录历史命令(.bash_history)
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0
02、清除系统日志痕迹
Linux 系统存在多种日志文件,来记录系统运行过程中产生的日志。
复制代码
/var/log/btmp 记录所有登录失败信息,使用lastb命令查看
/var/log/lastlog 记录系统中所有用户最后一次登录时间的日志,使用lastlog命令查看
/var/log/wtmp 记录所有用户的登录、注销信息,使用last命令查看
/var/log/utmp 记录当前已经登录的用户信息,使用w,who,users等命令查看
/var/log/secure 记录与安全相关的日志信息
/var/log/message 记录系统启动后的信息和错误日志
复制代码
第一种方式:清空日志文件
清除登录系统失败的记录:
[root@centos]# echo > /var/log/btmp
[root@centos]# lastb //查询不到登录失败信息
清除登录系统成功的记录:
[root@centos]# echo > /var/log/wtmp
[root@centos]# last //查询不到登录成功的信息
清除相关日志信息:
清除用户最后一次登录时间:echo > /var/log/lastlog #lastlog命令
清除当前登录用户的信息:echo > /var/log/utmp #使用w,who,users等命令
清除安全日志记录:cat /dev/null > /var/log/secure
清除系统日志记录:cat /dev/null > /var/log/message
第二种方式:删除/替换部分日志
日志文件全部被清空,太容易被管理员察觉了,如果只是删除或替换部分关键日志信息,那么就可以完美隐藏攻击痕迹。
删除所有匹配到字符串的行,比如以当天日期或者自己的登录ip
sed -i '/自己的ip/'d /var/log/messages
全局替换登录IP地址:
sed -i 's/192.168.166.85/192.168.1.1/g' secure
03、清除web入侵痕迹
第一种方式: 直接替换日志ip地址
sed -i 's/192.168.166.85/192.168.1.1/g' access.log
第二种方式:清除部分相关日志
使用grep -v来把我们的相关信息删除,
cat /var/log/nginx/access.log | grep -v evil.php > tmp.log
把修改过的日志覆盖到原日志文件
cat tmp.log > /var/log/nginx/access.log/
04、文件安全删除工具
(1)shred命令
实现安全的从硬盘上擦除数据,默认覆盖3次,通过 -n指定数据覆盖次数。
[root@centos]# shred -f -u -z -v -n 8 1.txt
shred: 1.txt: pass 1/9 (random)...
shred: 1.txt: pass 2/9 (ffffff)...
shred: 1.txt: pass 3/9 (aaaaaa)...
shred: 1.txt: pass 4/9 (random)...
shred: 1.txt: pass 5/9 (000000)...
shred: 1.txt: pass 6/9 (random)...
shred: 1.txt: pass 7/9 (555555)...
shred: 1.txt: pass 8/9 (random)...
shred: 1.txt: pass 9/9 (000000)...
shred: 1.txt: removing
shred: 1.txt: renamed to 00000
shred: 00000: renamed to 0000
shred: 0000: renamed to 000
shred: 000: renamed to 00
shred: 00: renamed to 0
shred: 1.txt: removed
(2)dd命令
可用于安全地清除硬盘或者分区的内容。
dd if=/dev/zero of=要删除的文件 bs=大小 count=写入的次数
(3)wipe
Wipe 使用特殊的模式来重复地写文件,从磁性介质中安全擦除文件。
wipe filename
(4)Secure-Delete
Secure-Delete 是一组工具集合,提供srm、smem、sfill、sswap,4个安全删除文件的命令行工具。
srm filename
sfill filename
sswap /dev/sda1
smem
05、隐藏远程SSH登陆记录
隐身登录系统,不会被w、who、last等指令检测到。
ssh -T root@192.168.0.1 /bin/bash -i
不记录ssh公钥在本地.ssh目录中
ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i
Linux 入侵痕迹清理技巧相关推荐
- windows清理_Windows入侵痕迹清理技巧方法总结
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP.清除系统日志.删除上传的工具.隐藏后门文件.擦除入侵过程中所产生的痕迹等. 01.Windows日志清除 windo ...
- java怎么清楚项目痕迹_Windows 入侵痕迹清理技巧
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP.清除系统日志.删除上传的工具.隐藏后门文件.擦除入侵过程中所产生的痕迹等. 01.Windows日志清除 windo ...
- Linux入侵痕迹检测方案【华为云技术分享】
背景说明 扫描是一切入侵的基础,通过扫描来发现目标主机是否为活动主机.操作系统是什么版本.开放了哪些服务等.扫描技术纷繁复杂,新的扫描技术也层出不穷,不可能穷举所有扫描技术,下面按入侵步骤对主机扫描. ...
- 探测活动主机的代码linux,Linux入侵痕迹检测方案【华为云技术分享】
扫描是一切入侵的基础,通过扫描来发现目标主机是否为活动主机.操作系统是什么版本.开放了哪些服务等.扫描技术纷繁复杂,新的扫描技术也层出不穷,不可能穷举所有扫描技术,下面按入侵步骤对主机扫描.端口扫描和 ...
- Windows 入侵痕迹清理
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP.清除系统日志.删除上传的工具.隐藏后门文件.擦除入侵过程中所产生的痕迹等. 01.Windows日志清除 windo ...
- WINDOWS之入侵痕迹清理总结
Windows的日志文件通常有应用程序日志,安全日志.系统日志.DNS服务器日志.FTP日志.WWW日志等等. 应用程序日志文件:%systemroot%\system32\config\AppEve ...
- linux 清理废弃进程,Linux 痕迹清理 隐藏进程
1. 偷换系统二进制文件( ps , top 等) 防范: 比对hash:系统完整性检查工具,比如tripwrie.aide等 2. 修改hook调用函数 (修改命令返回结果,原函数getdents ...
- linux 入侵检测
最近遇到了很多服务器被入侵的例子,为了方便日后入侵检测以及排查取证,我查询了一些linux服务器入侵取证的相关资料,并在此总结分享,以便日后查询. 一般服务器被入侵的迹象,包括但不局限于:由内向外发送 ...
- 【Network Security!】入侵痕迹清除,修改系统日志
搞渗透的同学都会碰到这个问题,如何清理入侵痕迹?比较多见的就是覆盖日志或者直接删除,感觉这种方法太暴力了,直接删除或者覆盖多少都会有破绽,有人提醒说可以尝试修改日志,碰巧在网上看到一个相关的脚本,拿来 ...
- LINUX入侵检测指导
检查用户登录记录 more /var/log/secure who /var/log/wtmp (unknown):0 2016-06-24 00:56 (:0) root : ...
最新文章
- leetcode 518. 零钱兑换 II
- C# WinForm开发系列 - WebBrowser
- 面试 | 蚂蚁金服面试经历
- WinAPI——Windows 消息
- Nginx反向代理Redis服务
- 无人机怎么设定航线_无人机工地巡逻方案
- python导入opencv解决no module named cv2问题
- 软考数据库工程师2020下午题@故障恢复解析
- B2B跨境电子商务平台综合服务解决方案 1
- 神经网络模型应用实例SPSS - 典型的神经网络模型 - 神经网络模型的应用
- R-概率统计与模拟(四)拒绝抽样
- android 音视频录制
- Linux下实现双机互信
- 51单片机c语言宏定义是什么意思,51单片机的C语言宏定义应用.doc
- 最详细最简单:最大公因数求法、辗转相除法、更相减损法,入门ACM,杭电水题,算法递归,初级算法题一看就懂
- 3_使用seurat sct方法中的reference based处理大数据超过100000个细胞 science advance
- 搜索引擎收录提交入口
- 2012年3月5日有感
- 【 STM32实例 】 智能小车的红外循迹
- 微信小程序获取手机号登录(Java后端)