本文转载自微信公众号《绕过》,作者绕过。转载本文请联系旁路公众号。攻击结束后,如何不留痕迹地清除日志和操作记录,掩盖入侵痕迹,其实是一个细致的技术活。你所做的每一个操作都必须被擦除;您上传的工具应该被安全删除。01.清除历史命令记录的第一种方法:(1)编辑历史记录文件,删除一些不想保存的历史命令。vim~/.bash_history(2)清除当前用户的历史命令recordhistory-c第二种方式:(1)利用vim特性删除历史命令#使用vim打开一个文件vitest.txt#设置vim不记录命令,Vim会将命令历史记录保存在viminfo文件中。:sethistory=0#使用vim的分屏功能打开命令记录文件.bash_history,编辑文件并删除历史操作命令vsp~/.bash_history#清除并保存.bash_history文件。(2)在vim中执行不想让别人看到的命令:sethistory=0:!command第三种方式:通过修改配置文件/etc/profile,系统不再保存命令记录。HISTSIZE=0第四种方式:登录后执行以下命令,不记录历史命令(.bash_history)unsetHISTORYHISTFILEHISTSAVEHISTZONEHISTORYHISTLOG;导出HISTFILE=/dev/null;导出HISTSIZE=0;exportHISTFILESIZE=002,清除系统日志痕迹Linux系统中有各种日志文件,用于记录系统运行过程中产生的日志。/var/log/btmp记录所有登录失败信息,使用lastb命令查看/var/log/lastlog记录系统所有用户最后一次登录时间的日志,使用lastlog命令查看/var/log/wtmp记录所有用户登录,注销信息使用last命令查看/var/log/utmp记录当前登录用户信息,使用w、who、users等命令查看/var/log/secure记录安全相关的日志信息/var/log/messagerecords系统启动后的信息和错误日志第一种方法:清除日志文件,清除系统登录失败的记录:[root@centos]#echo>/var/log/btmp[root@centos]#lastb//无法登录失败信息清除登录成功记录:[root@centos]#echo>/var/log/wtmp[root@centos]#last//找不到登录成功信息清除相关日志信息:清除用户上次登录时间:echo>/var/log/lastlog#lastlog命令清除inform当前登录用户的信息:echo>/var/log/utmp#使用w、who、users等命令清除安全日志记录:cat/dev/null>/var/log/secure清除系统日志记录:cat/dev/null>/var/log/message方法二:删除/替换部分日志所有日志文件清空,太容易被管理员察觉。如果只删除或替换部分关键日志信息,则可以完美隐藏攻击痕迹。#删除所有符合字符串的行,比如当天的日期或者你自己的登录ipsed-i'/你自己的ip/'d/var/log/messages#全局替换登录IP地址:sed-i's/192.168.166.85/192.168.1.1/g'secure03。清除web入侵痕迹第一种方法:直接替换日志ip地址sed-i's/192.168.166.85/192.168.1.1/g'access.log第二种方法:清除一些相关日志#使用grep-v删除我们的相关信息,cat/var/log/nginx/access.log|grep-vevil.php>tmp.log#覆盖修改日志到原日志文件cattmp.log>/var/log/nginx/access.log/04、文件安全删除工具(1)shred命令实现了对硬盘数据的安全擦除,默认覆盖3次,数据覆盖次数由-n指定。[root@centos]#shred-f-u-z-v-n81.txtshred:1.txt:pass1/9(随机)...shred:1.txt:pass2/9(ffffff)...shred:1.txt:pass3/9(aaaaaa)...shred:1.txt:pass4/9(随机)...shred:1.txt:pass5/9(000000)...shred:1.txt:pass6/9(随机)。..shred:1.txt:pass7/9(555555)...shred:1.txt:pass8/9(随机)...shred:1.txt:pass9/9(000000)...shred:1.txt:removingshred:1.txt:renamedto00000shred:00000:renamedto0000shred:0000:renamedto000shred:000:renamedto00shred:00:renamedto0shred:1.txt:removed(2)dd命令可用于安全擦除硬盘内容或分区。ddif=/dev/zeroof=要删除的文件bs=sizecount=写入次数(3)wipeWipe使用一种特殊的模式重复写入文件,从磁介质中安全地擦除文件。wipefilename(4)Secure-DeleteSecure-Delete是一个工具集合,提供srm、smem、sfill、sswap、4个安全删除文件的命令行工具。srmfilenamesfillfilenamesswap/dev/sda1smem05。隐藏远程SSH登录记录以隐身方式登录系统,不会被w、who、last等命令检测到。ssh-Troot@192.168.0.1/bin/bash-i不在本地.ssh目录下记录ssh公钥ssh-oUserKnownHostsFile=/dev/null-Tuser@host/bin/bash–i
