Linux清理入侵痕迹
一、清除history历史命令记录
方式一:
(1)编辑history记录文件,删除部分不想被保存的历史命令。
vim ~/.bash_history
(2)清除当前用户的history命令记录
history -c
方式二:
(1)利用vim特性删除历史命令
#使用vim打开一个文件
vi test.txt# 设置vim不记录命令,Vim会将命令历史记录,保存在viminfo文件中。
:set history=0
# 用vim的分屏功能打开命令记录文件.bash_history,编辑文件删除历史操作命令
vsp ~/.bash_history
# 清除保存.bash_history文件即可。
(2)在vim中执行自己不想让别人看到的命令
:set history=0
:!command
方式三:
通过修改配置文件/etc/profile,使系统不再保存命令记录。
HISTSIZE=0
方式四:
登录后执行下面命令,不记录历史命令(.bash_history)
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0
二、清除系统日志痕迹
Linux 系统存在多种日志文件,来记录系统运行过程中产生的日志。
/var/log/btmp 记录所有登录失败信息,使用lastb命令查看
/var/log/lastlog 记录系统中所有用户最后一次登录时间的日志,使用lastlog命令查看
/var/log/wtmp 记录所有用户的登录、注销信息,使用last命令查看
/var/log/utmp 记录当前已经登录的用户信息,使用w,who,users等命令查看
/var/log/secure 记录与安全相关的日志信息
/var/log/message 记录系统启动后的信息和错误日志
第一种方式:清空日志文件
清除登录系统失败的记录:
# echo > /var/log/btmp
# lastb //查询不到登录失败信息
清除登录系统成功的记录:
# echo > /var/log/wtmp
# last //查询不到登录成功的信息
清除相关日志信息:
清除用户最后一次登录时间:echo > /var/log/lastlog #lastlog命令
清除当前登录用户的信息:echo > /var/log/utmp #使用w,who,users等命令
清除安全日志记录:cat /dev/null > /var/log/secure
清除系统日志记录:cat /dev/null > /var/log/message
第二种方式:删除/替换部分日志
日志文件全部被清空,太容易被管理员察觉了,如果只是删除或替换部分关键日志信息,那么就可以完美隐藏攻击痕迹。
# 删除所有匹配到字符串的行,比如以当天日期或者自己的登录ip
sed -i '/自己的ip/'d /var/log/messages# 全局替换登录IP地址:
sed -i 's/192.168.166.85/192.168.1.1/g' secure
三、清除web入侵痕迹
第一种方式:直接替换日志ip地址
sed -i 's/192.168.166.85/192.168.1.1/g' access.log
第二种方式:清除部分相关日志
# 使用grep -v来把我们的相关信息删除,
cat /var/log/nginx/access.log | grep -v evil.php > tmp.log# 把修改过的日志覆盖到原日志文件
cat tmp.log > /var/log/nginx/access.log/
四、文件安全删除工具
(1)shred命令
实现安全的从硬盘上擦除数据,默认覆盖3次,通过 -n指定数据覆盖次数。
# shred -f -u -z -v -n 8 1.txt
shred: 1.txt: pass 1/9 (random)...
shred: 1.txt: pass 2/9 (ffffff)...
shred: 1.txt: pass 3/9 (aaaaaa)...
shred: 1.txt: pass 4/9 (random)...
shred: 1.txt: pass 5/9 (000000)...
shred: 1.txt: pass 6/9 (random)...
shred: 1.txt: pass 7/9 (555555)...
shred: 1.txt: pass 8/9 (random)...
shred: 1.txt: pass 9/9 (000000)...
shred: 1.txt: removing
shred: 1.txt: renamed to 00000
shred: 00000: renamed to 0000
shred: 0000: renamed to 000
shred: 000: renamed to 00
shred: 00: renamed to 0
shred: 1.txt: removed
(2)dd命令
可用于安全地清除硬盘或者分区的内容。
dd if=/dev/zero of=要删除的文件 bs=大小 count=写入的次数
(3)wipe
Wipe 使用特殊的模式来重复地写文件,从磁性介质中安全擦除文件。
wipe filename
(4)Secure-Delete
Secure-Delete 是一组工具集合,提供srm、smem、sfill、sswap,4个安全删除文件的命令行工具。
srm filename
sfill filename
sswap /dev/sda1
smem
五、隐藏远程SSH登陆记录
隐身登录系统,不会被w、who、last等指令检测到。
ssh -T root@192.168.0.1 /bin/bash -i
不记录ssh公钥在本地.ssh目录中
ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i
Linux清理入侵痕迹相关推荐
- Linux系统入侵痕迹分析取证
获取基本信息 向服务器运维人员询问,系统的基本配置,安装的发行版本,建立和使用的账户, 所在网络拓扑的位置.网络配置情况,及其所承载的服务. 系统信息 [root@localhost ~]# unam ...
- 【Network Security!】入侵痕迹清除,修改系统日志
搞渗透的同学都会碰到这个问题,如何清理入侵痕迹?比较多见的就是覆盖日志或者直接删除,感觉这种方法太暴力了,直接删除或者覆盖多少都会有破绽,有人提醒说可以尝试修改日志,碰巧在网上看到一个相关的脚本,拿来 ...
- Windows主机入侵痕迹排查办法
目录 1.排查思路 1.1.初步筛选排查资产 1.2.确定排查资产 1.3.入侵痕迹排查 2.排查内容 2.1.windows主机 2.1.1.网络连接 2.1.2.敏感目录 2.1.3.后门文件 2 ...
- Windows日志识别入侵痕迹
有小伙伴问:网络上大部分windows系统日志分析都只是对恶意登录事件分析的案例,可以通过系统日志找到其他入侵痕迹吗? 答案肯定是可以的,当攻击者获取webshell后,会通过各种方式来执行系统命令. ...
- linux清空buff,linux 清理缓存buff/cache
清理缓存 echo 1 > /proc/sys/vm/drop_caches echo 2 > /proc/sys/vm/drop_caches echo 3 > /proc/sys ...
- linux中清理缓存命令,linux清理缓存的命令
查看缓存的命令 free -m 清理缓存的命令 echo 1 > /proc/sys/vm/drop_caches echo 2 > /proc/sys/vm/drop_caches ec ...
- VMware虚拟机下Linux清理其所在的磁盘空间
虚拟机linux清理空间,虚拟机占用物理磁盘空间不断增大,怎么清理? 解决办法: 方法一: 把一部分*sxxx.vmdk文件剪切到其他盘符下.用ultraEdit 打开Debian_Lenny.vmd ...
- Linux入侵痕迹检测方案【华为云技术分享】
背景说明 扫描是一切入侵的基础,通过扫描来发现目标主机是否为活动主机.操作系统是什么版本.开放了哪些服务等.扫描技术纷繁复杂,新的扫描技术也层出不穷,不可能穷举所有扫描技术,下面按入侵步骤对主机扫描. ...
- 探测活动主机的代码linux,Linux入侵痕迹检测方案【华为云技术分享】
扫描是一切入侵的基础,通过扫描来发现目标主机是否为活动主机.操作系统是什么版本.开放了哪些服务等.扫描技术纷繁复杂,新的扫描技术也层出不穷,不可能穷举所有扫描技术,下面按入侵步骤对主机扫描.端口扫描和 ...
- linux清理日志 hack,Linux系统的LOG日志文件及入侵后日志的清除
UNIX网管员主要是靠系统的LOG,来获得入侵的痕迹.当然也有第三方工具记录入侵系统的 痕迹,UNIX系统存放LOG文件,普通位置如下: /usr/adm - 早期版本的UNIX /var/adm - ...
最新文章
- 慢慢学Linux驱动开发,第七篇,scull的使用
- AAAI 2021最佳论文《Informer》作者:Transformer 最新进展
- DirectX11 With Windows SDK--22 立方体映射:静态天空盒的读取与实现
- javascript 错误与调试
- SAP CRM relationship cleanup
- SpringAOP的几大通知
- SQL实战之查找所有员工的last_name和first_name以及对应部门编号dept_no
- 浅谈栈和队列的有关面试题
- SQLServer的本月统计和本周统计
- Linux安装Nginx1.7.4、php5.5.15和配置
- RK3399用户空间IO控制
- (转)Java 之 FileReader FileInputStream InputStreamReader BufferedReader 作用与区别
- 51单片机-STC89C52系列学习第一篇之IO口学习
- payjs 源码_ZFAKA发卡系统用宝塔安装详细图文教程+对接Payjs个人支付版本
- Python爬虫实战之利用多线程爬取千图网的素材图片
- 有哪些写项目策划书注意事项
- 4.19 C语言练习(已有一个已正序排好的9个元素的数组,今输入一个数要求按原来排序的规律将它插入数组中)
- Hyperlynx使用心得
- ZLMediaKit视频推流和播放步骤
- instandceof
热门文章
- “2019年中国新型城镇化论坛”在京举行
- 如果你要补充益生菌 ——益生菌补充、个体化、定植指南
- 第九届JAVA大学C组 那天返回省赛 第一题
- Chapter6 CMOS组合逻辑门设计
- opencv-python 银行卡卡号识别
- pandas读取xls文件
- matlab ramp函数,一文教你快速搞懂 FOC ramp function 斜坡函数的作用和实现
- 计算机网络线接法,电脑网线水晶头接法图解
- 没有这个传奇工程师,就没有今天的 Windows
- python documents in chinese_python xlwt 设置 格式