Linux痕迹清除|内网渗透学习(十四)

Linux痕迹清除|内网渗透学习(十四)

几个关于Linux日志清除的demo

登录日志

ssh远程登录会产生登录日志

命令 日志文件 描述
last /var/log/wtmp 所有成功登录/登出记录
lastb /var/log/btmp 登录失败尝试记录
lastlog /var/log/lastlog 最近登录记录
w,who /var/log/utmp 记录当前登录的每个用户的信息, 它只保留当前连接的用户记录, 不会为用户永久保存记录

命令输出包括: 登录名,上次登录时间,IP,端口

image-20221002151106934

一些其他的日志文件

image-20221002151000069

日志清除

直接重定向echo > log_file把日志文件清了(因为日志文件是二进制文件所以我们不好直接编辑单独删除我们的登录信息)

WEB日志

/var/log/httpd/access.log

/var/log/apache2/access.log

/var/log/nginx/access.log

...

通过grep-v参数将含有shell.php的访问记录行给过滤掉之后导出, 再将过滤后的内容导入日志文件

cat /var/log/httpd/access.log|grep -v shell.php >/tmp/a.log
cat /tmp/a.log > /var/log/httpd/access.log

也可以使用sed删除含有指定内容的行数据

sed -i -e 'shell.php' /var/log/httpd/access.log

定时任务日志

/var/log/cron : 记录了系统定时任务相关日志

secure 日志

/var/log/secure : 记录验证和授权方面的信息, 只要涉及账号密码的程序都会被记录, 比如ssh连接, su切换用户, sudo授权, 甚至添加用户和修改用户密码也会记录在这个日志文件中。

我的服务器上并没有这个文件, 应该和系统配置有关.

操作历史记录

history : 通过这个命令可以看到当前用户的全部操作记录

~/.bash_history : 文件记录着history命令将会输出的命令执行记录

注意: history命令可以看到全部的操作历史记录, 但是在~/.bash_history 文件中可能只是显示了之前的命令, 最近的命令可能不存在, 因为操作历史是先存在缓冲区, 达到一定数量之后就写入历史记录文件中 (这个和history有关, 在我的服务器上文件的操作历史是随时同步的)

删除历史记录操作

  1. 删除全部历史记录:

    history -w && history -c && > ~/.bash_history
  2. 删除指定行的历史记录

    history -d [line_num]
  3. 备份还原历史记录

    cp ~/.bash_history /tmp/history.bak
  4. 删除100行以后的历史记录

    sed -i "100,$d" ~/.bash_history

隐藏历史记录

开启无痕模式, 禁用历史记录功能

set +o history #开启无痕模式
set -o history #关闭无痕模式

2022_10_02 16:00

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇