滲透過后需要清除部分操作記錄,本文總結一些linux清除日志或隱藏的相關的操作
1.清除歷史命令
刪除部分不想被保存的歷史命令
vim /root/.bash_history
清除當前用戶的全部history命令記錄(一般不推薦,痕跡很明顯了)
history -c
2.在vim中執行清除命令,在vim中可以執行系統命令而不被history記錄,通過vim執行清除歷史記錄命令
首先查看vim的操作歷史
:history
將vim操作記錄清零
:set history=0
再次查看歷史命令就查不到了
執行系統命令,在:!之后加上命令,比如ls,cd等,不會被記錄到
:!pwd
在vim中使用分屏功能,清理文件即可
:vsp /root/.bash_history
3.列出部分系統日志文件
/var/log/btmp 記錄所有登錄失敗信息,使用lastb命令查看 /var/log/lastlog 記錄系統中所有用戶最后一次登錄時間的日志,使用lastlog命令查看 /var/log/wtmp 記錄所有用戶的登錄、注銷信息,使用last命令查看 /var/log/utmp 記錄當前已經登錄的用戶信息,使用w,who,users等命令查看 /var/log/secure 記錄與安全相關的日志信息 /var/log/message 記錄系統啟動后的信息和錯誤日志
清理登錄系統失敗的記錄
echo > /var/log/wtmp
再次查看上次登錄信息
lastb
部分清除命令
清理相關日志信息 清除用戶最后一次登錄時間:echo > /var/log/lastlog #lastlog命令 清除當前登錄用戶的信息:echo > /var/log/utmp #使用w,who,users等命令 清除安全日志記錄:cat /dev/null > /var/log/secure 清除系統日志記錄:cat /dev/null > /var/log/message
4.刪除/替換部分日志
刪除所有匹配到字符串的行,比如以當天日期或者自己的登錄IP
sed -i '/自己的ip/'d /var/log/messages
全局替換登錄IP地址
sed -i 's/192.168.166.85/192.168.1.1/g' secure
清除web入侵痕跡
直接替換日志ip地址
sed -i 's/192.168.166.85/192.168.1.1/g' access.log
#清除部分相關日志
grep -v 排除某些字段,然后再覆蓋原來的日志文件
cat /var/log/nginx/access.log | grep -v evil.php > tmp.log
#再把修改過的日志覆蓋到原日志文件
cat tmp.log > /var/log/nginx/access.log/
5.隱藏遠程SSH登錄記錄
隱身登錄系統,不會被w、who、last等指令檢測到。
ssh -T root@192.168.0.1 /bin/bash -i
-T表示不分配偽終端
如何發現隱藏的的登錄
ps -ef|grep ssh 或者 lsof -i:22
不記錄ssh公鑰在本地.ssh目錄中
ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i