linux后渗透痕迹清除
历史记录清除
Bash、shell、终端将当前会话中使用的命令列表保存在内存中,因此必须对其进行清理。
history用于命令查看当前历史记录。
环境变量:HISTFILE
查找history命令文件存储路径:
echo $HISTFILE #返回当前用户history命令存储文件路径
删除变量:
unset HISTFILE
这时候在使用一次"echo HISTFILE"将返回为空。
为了防止历史命令被保存,也可以将其发送到/dev/null
HISTFILE=/dev/null
或
export HISTFILE=/dev/null
这时候历史命令将被发送到 /dev/null
echo HISTFILE #返回/dev/null
设置HISTSIZE变量将当前会话期间要保留的命令数设置为 0
HISTSIZE=0
或
export HISTSIZE=0
设置HISTFILESIZE变量更改历史文件中允许的行数设置为 0
HISTFILESIZE=0
或
export HISTFILESIZE=0
设置set命令来更改 shell 参数
set +o history #关闭history命令
set -o history #开启history命令
或
shopt -ou history #关闭
shopt -os history #开启
也可以使用 "-cw" 开关简单地清除历史记录并将更改写入磁盘。
history -cw
这些操作只会清除当前会话的历史记录;为了确保在注销会话时清除历史记录,可以使用以下命令:
cat /dev/null > ~/.bash_history && history -c && exit
或者使用kill命令退出会话而不保存历史记录:
kill -9 $$
清除日志文件
常见的日志文件:
/var/log/messages # 一般消息和系统相关的东西
/var/log/auth.log # 认证日志
/var/log/kern.log # 内核日志
/var/log/cron.log # Crond 日志
/var/log/maillog # 邮件服务器日志
/var/log/boot.log # 系统启动日志
/var/log/mysqld.log # MySQL 数据库服务器日志文件
/var/log/qmail # Qmail 日志目录
/var/log/httpd # Apache 访问和错误日志目录
/var/log/lighttpd # Lighttpd 访问和错误日志目录
/var/log/secure # 认证日志
/var/log/utmp # 登录记录文件
/var/log/wtmp # 登录记录文件
/var/log/yum.log # Yum 命令日志文件
可以简单地使用rm命令直接删除日志文件
rm /var/log/auth.log但这个过程会导致许多危险信号;最好将文件清空,而不是将其完全擦除。
使用truncate命令将文件大小减少到 0
truncate -s 0 /var/log/auth.log通过将“nothing”映射到文件来完成清除
echo '' > /var/log/auth.log单独使用>来清理文件
> /var/log/auth.log利用发送到/dev/null清除文件
cat /dev/null > /var/log/auth.log使用dd命令不向日志文件写入任何内容
dd if=/dev/null of=/var/log/auth.log利用shred命令用无意义的二进制数据覆盖文件
shred /var/log/auth.log或者添加-zu截断文件,并用0覆盖文件
shred -zu /var/log/auth.logCovermyass 脚本
Covermyass 脚本自动执行包括清除日志文件和禁用 Bash 历史记录。
详细使用和下载:
https://github.com/sundowndev/covermyass
添加执行权限
chmod +x covermyass运行
root@/tmp# ./covermyassWelcome to Cover my ass tool !
Select an option :
1) Clear logs for user root
2) Permenently disable auth & bash history
3) Restore settings to default
99) Exit tool选项 1 清除 root 用户的日志
选项 2 禁用 Bash 和登录历史记录
选项 3 将设置恢复为默认值
需要清除所有内容,只需添加now参数
./covermyass now注意:没有 sudo 权限,可能无法清除系统级日志文件( /var/log/*)
结语
已无暇顾及过去,要向前走。
linux后渗透痕迹清除相关推荐
- 渗透测试-后渗透-痕迹清理
https://mp.weixin.qq.com/s/bc2zKlsQSTMPVMPfQyrXSA 后渗透-痕迹清理Windows修改文件时间戳 登陆到服务器,对它的⽂件进行了修改,修改后的⽂件的时间 ...
- linux 两块硬盘做r0,本文是emp3r0r:Linux用户打造的Linux后渗透框架的后续。
介绍 首先感谢大家对 emp3r0r 的肯定,如果有什么想法可以在评论区交流. 最近添加了些我觉得可能有用的东西,今天要介绍的就是dropper和packer两个新功能. dropper顾名思义是用来 ...
- 【安全研究】Linux后渗透常见后门驻留方式分析
一.引言 当RedTeam拿下了一台服务器并获取到系统较高权限,但不知道服务器的凭证时,RedTeam会采用怎样的技术获取系统凭证呢?又或者,在RedTeam拿下一台服务器,为达到长久控制的目的而专门 ...
- Linux不留历史痕迹-清除历史命令
1.history -c 可能大家常用#history -c命令认为可以实现清空历史命令,实质上history -c只是清空当前shell窗口显示的历史命令,而无法删除保留在~/.bash_histo ...
- 红队渗透-window痕迹清除
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一.windows操作系统基础入门 二.windows渗透痕迹清除 1.为避免入侵操作行为被发现时,攻击者往往通过各种 ...
- Linux痕迹清除技术
系统入侵后要对操作痕迹进行清除,如果上传工具和木马文件要做隐藏和伪装,以免引起警觉甚至丢失目标,"清道夫"的工作虽有些烦杂,但这些工作直接影响到目标控守的持久性. The quie ...
- 渗透工具-后渗透-权限维持-Cobalt strike
Cobalt strike 渗透测试人员的先进威胁战术 英文名词翻译对照表 命令快查 Cobaltstrike简介 Cobaltstrike架构 信息收集模块System Profiler user- ...
- metasploit完整的使用流程包括meterpreter后渗透
metasploit完整的使用流程包括meterpreter后渗透 主机发现 基于ARP发现内网存活主机 基于FTP服务 基于HTTP服务 基于SMB 漏洞扫描 漏洞渗透利用 利用ms17_010 利 ...
- Metasploit——后渗透测试阶段
目录 1.已经获得目标系统控制权后扩大战果 2.基于已有session扩大战果 3.获取system账号权限 4.绕过UAC限制 5.利用漏洞直接提权为system 6.图形化payload 7.Ps ...
最新文章
- 火狐linux ubuntu16.04,Ubuntu 16.04 安装 Firefox 48.0 beta版
- RxJava 中的map与flatMap
- Nilearn教程系列(3)-ICA静息功能磁共振成像的分组分析:CanICA
- httpclient3.1的多线程处理
- 项目经理面试中可能遇到的问题
- ubuntu上玩3D,把状态栏面板栏给玩没了
- 一些powershell基本使用示例
- OpenGL 各类库的解析 gl/glu/glut/freeglut/glfw/glew
- bootloader搞定,1.67秒!
- 山科大离散数学期末考试_离散数学期末考试试题及答案
- UE4安装教程,虚幻引擎安装教程,UE4的安装
- 基于linux 的 PCI PCIe 总线分析总结
- 数字逻辑电路(二、逻辑代数基础)
- linux系统bcast,Linux系统下取IP地址的几种方法
- sparkStreaming+kafka+redis小项目实战
- JAVA通过poi实现excel表格制作并且将图片放入到指定的单元格中(可以循环插入)
- 网红直播天水人间主播大秀
- 无线充电线圈绕制注意事项
- python用函数绘制椭圆_如何用Python画一只肥肥的柯基狗狗—turtle库绘制椭圆与弧线实践...
- django项目环境搭建