Linux入侵痕迹清理
Linux入侵痕迹清理
环境:Centos7、Kali虚拟机等
清除登陆系统成功的记录
[root@localhost root]# echo > /var/log/wtmp //此文件默认打开时乱码,可查到ip等信息
[root@localhost root]# last //此时即查不到用户登录信息
清除之前能看到之前其他机器的登录信息
清除登陆系统失败的记录
[root@localhost root]# echo > /var/log/btmp //此文件默认打开时乱码,可查到登陆失败信息
[root@localhost root]# lastb //查不到登陆失败信息
清除历史执行命令
[root@localhost root]# history -c //清空历史执行命令
修改/etc/profile,把HISTSIZE改为想记录的条数
[root@localhost root]# echo > ./.bash_history //或清空用户目录下的这个文件即可
导入空历史记录
[root@localhost root]# vi /root/history //新建记录文件
[root@localhost root]# history -c //清除记录
[root@localhost root]# history -r /root/history.txt //导入记录
[root@localhost root]# history //查询导入结果
清空命令记录
1)echo "'" > log.txt
2)echo > log.txt ,这种文件里会存在空格
3)cat /dev/null > log.txt
不记录历史命令
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG;
export HISTFILE=/dev/null;
export HISTSIZE=0;
export HISTFILESIZE=0
此方法仅在交互的shell中有效,并且会使上下箭头重复最近命令这功能失效。还有一种方法就是在进入主机的时候就备份一下.bash_history,当退出的时候就把备份的文件还原一下。
sed修改登陆信息
替换登录日志
sed -s 's/202.101.172.35/192.168.1.1/g' access_log access.log security
添加ssh限制登录的用户
sed -i 's/AllowUsers fuck root oracle/AllowUsers fuck root oracle rqcuser/g' sshd_config
不过这个添加之后要强制重启sshd服务才可以生效
lsof -i:22 //查找sshd的进程ID
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 18662 root 11u IPv6 27925867 TCP *:ssh (LISTEN)
sshd 31793 sshd 12u IPv6 34742994 TCP 192.168.1.2:ssh->192.168.1.5:49080 (ESTABLISHED)
然后
kill -SIGHUP 18662
/var/log/wtmp
记录了每个用户登录、注销及系统的启动、停机的事件,也可以用last命令快速查看
/var/run/utmp
记录当前登录的每个用户的信息,它只保留当时联机的用户记录,不会为用户保留永久的记录
/var/log/btmp
记录了所有失败的登录尝试
/var/log/lastlog
记录了系统中所有用户最近一次登陆的信息,如通过ssh登录时提示的此用户最后一次的登录时间,就是从这个文件中取出的
/var/log/auth.log
记录了所有和用户认证相关的日志,包括ssh登录、sudo执行命令等等
使用less auth.log|grep 'root',查看root的ssh登录记录
last -x -F
-F后不加参数,默认是显示/var/log目录下的wtmp文件的记录
lastlog
查看系统中所有用户最近一次登陆的信息
who
查询/var/run/itmp文件来显示系统中当前登录的每个用户
w
查询当前登录系统的用户在该干什么
users
用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示多次
一般需要清理的日志有:lastlog、utmp(utmpx)、wtmp(wtmpx)、messages、syslog、sulog
web日志的清理:access.log 和auth.log 位置在/var/log/
shell记录:.sh_history(ksh),.history(csh),或.bash_history(bash)等
Linux入侵痕迹清理相关推荐
- Linux入侵痕迹检测方案【华为云技术分享】
背景说明 扫描是一切入侵的基础,通过扫描来发现目标主机是否为活动主机.操作系统是什么版本.开放了哪些服务等.扫描技术纷繁复杂,新的扫描技术也层出不穷,不可能穷举所有扫描技术,下面按入侵步骤对主机扫描. ...
- 探测活动主机的代码linux,Linux入侵痕迹检测方案【华为云技术分享】
扫描是一切入侵的基础,通过扫描来发现目标主机是否为活动主机.操作系统是什么版本.开放了哪些服务等.扫描技术纷繁复杂,新的扫描技术也层出不穷,不可能穷举所有扫描技术,下面按入侵步骤对主机扫描.端口扫描和 ...
- Windows 入侵痕迹清理
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP.清除系统日志.删除上传的工具.隐藏后门文件.擦除入侵过程中所产生的痕迹等. 01.Windows日志清除 windo ...
- windows清理_Windows入侵痕迹清理技巧方法总结
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP.清除系统日志.删除上传的工具.隐藏后门文件.擦除入侵过程中所产生的痕迹等. 01.Windows日志清除 windo ...
- java怎么清楚项目痕迹_Windows 入侵痕迹清理技巧
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP.清除系统日志.删除上传的工具.隐藏后门文件.擦除入侵过程中所产生的痕迹等. 01.Windows日志清除 windo ...
- WINDOWS之入侵痕迹清理总结
Windows的日志文件通常有应用程序日志,安全日志.系统日志.DNS服务器日志.FTP日志.WWW日志等等. 应用程序日志文件:%systemroot%\system32\config\AppEve ...
- linux 清理废弃进程,Linux 痕迹清理 隐藏进程
1. 偷换系统二进制文件( ps , top 等) 防范: 比对hash:系统完整性检查工具,比如tripwrie.aide等 2. 修改hook调用函数 (修改命令返回结果,原函数getdents ...
- 【Network Security!】入侵痕迹清除,修改系统日志
搞渗透的同学都会碰到这个问题,如何清理入侵痕迹?比较多见的就是覆盖日志或者直接删除,感觉这种方法太暴力了,直接删除或者覆盖多少都会有破绽,有人提醒说可以尝试修改日志,碰巧在网上看到一个相关的脚本,拿来 ...
- 应急响应之Windows/Linux(入侵排查篇)
0x01 应急响应介绍 当企业发生入侵事件.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给 ...
- 渗透测试-后渗透-痕迹清理
https://mp.weixin.qq.com/s/bc2zKlsQSTMPVMPfQyrXSA 后渗透-痕迹清理Windows修改文件时间戳 登陆到服务器,对它的⽂件进行了修改,修改后的⽂件的时间 ...
最新文章
- php中mvc控制器作用,理解PHP中的MVC编程之控制器
- 倒计时 8 天 | 完整议程大揭秘!来 20 个 AI 论坛,与百名大咖携手玩转人工智能...
- Generation Language GL
- android 51 有序广播
- Windows 搭建ASP.NET Boilerplate项目开发环境
- centos 安装testlink出现:You don't have permission to access /testlink on this server
- Python多继承mro示例
- POJ1321(DFS)
- django-验证码
- 打算做个单用户博客,引用收藏一下zblog的话
- messagebox函数弹窗后根据选择的YES或者NO做出不一样的操作
- ie9服务器win2008系统离线安装包,IE9离线安装包完整版
- favicon.ico在线制作,在线Favicon.ico制作转换工具
- HBuilder开发旅游类APP(一) ----- 实现地图插件调用、苹果和安卓同步混合开发
- 都说it是吃青春饭的,那些35岁左右的it女技术人员(测试)都在做啥呢?转行了吗?
- linux多进程和多线程分析之一 .
- No servers available for service: xxxx
- Linux系统中svn服务器设置开机启动
- Mac OSX常用软件汇总
- 滑坡的剖面图怎么用计算机绘制,CAD滑坡剖面图教程