ssh不留痕迹登录

已于 2022-04-23 20:23:34 修改
阅读量4k 收藏 11
点赞数 4
分类专栏: WEB渗透学习 文章标签: ssh linux centos
于 2021-09-20 16:41:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45290991/article/details/120392532
版权

 

 欢迎大家一起来Hacking水友攻防实验室学习,渗透测试,代码审计,免杀逆向,实战分享,靶场靶机,求关注

一、远程登录ssh时候w和last无法发现

ssh -T root@127.0.0.1 /bin/bash -i

ssh -lroot 目标ip /usr/bin/bash

/usr/bin/bash -i 表示在登录之后 调用bash命令

-i 表示是交互式shell

原因:w和last,只能发现完整的tty交互式终端,而上述命令并不会分配一个真正的tty,仅仅是调用了/bin/bash而已(接受我们的输入然后输出)

#不留下.bash_history

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0

参考大佬的解释:

这是因为w 命令显示信息来源于utmp,last 来源于wtmp,并不是所有程序登录的时候都会调用utmp 和wtmp 日志记录接口,只有交互式会话,才会调用utmp 和 wtmp的日志记录接口,比如 通过tty 或者pts或者图形界面登录的都会调用utmp 和wtmp 日志记录接口,然后我们在使用w 和last 命令的时候就会发现登录信息

ssh -lroot 192.168.12.51 /usr/bin/bash 为什么不属于交互式会话

ssh -lroot 192.168.12.51 /usr/bin/bash 其实就相当于登录之后直接调用bash这个名,此时系统没有为其分配tty,不算一个完整交互式会话,只不过bash 接受输入,然后有输出,让我们误以为是交互式会话,其实不然,你可以将/usr/bin/bash 替换成/usr/bin/ls 试一下,就是简单执行以下就退出了

二、pst,tty区别

pst/0就是地0个终端窗口   tty是完整的交互式终端 

三、如何发现隐藏的ssh登录行为?

如果是隐匿的ssh正在进行,可以通过lsof 或者 netstat 或者ps 命令发现

1)通过lsof发觉异常ssh登录

2)通过ps命令发现异常ssh登录 

这里有个notty的 sshd 进程,说明就是通过上文所述的trick隐匿于w和last命令的ssh登录行为

3)如果是历史ssh 隐匿登录行为,如何找出历史登录行为呢

通过分析/var/log/secure 日志(有的系统是/var/log/auth.log)

 

从 Accepted publickey for root from 192.168.12.54 一行可以得出ssh的登录时间

从Disconnected from 192.168.12.54 port 43000 一行可以得出ssh的退出时间

如果从secure中的分析结果和 last 对不上,那么这些对不上的登录行为有可能就是通过本文所介绍的隐匿方式登录的

其实像scp 、sftp 等也涉及到ssh登录,但却不会在w 和last中留下日志的程序,也都是因为他们不输入交互式会话。

热热的雨夜
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux 入侵痕迹清理技巧
09-10 4万+
在攻击结束后,如何不留痕迹的清除日志和操作记录,以掩盖入侵踪迹,这其实是一个细致的技术活。你所做的每一个操作,都要被抹掉;你所上传的工具,都应该被安全地删掉。 01、清除history历史命令记录 查看历史操作命令: 查看历史操作命令:history history记录文件:more ~/.bash_history 第一种方式: (1)编辑history记录文件,删除部分不想被保...
ssh1—xshell免密登录
weixin_49472648的博客
11-28 1102
ssh—免密登录 文章目录ssh—免密登录实验环境前提条件基本逻辑拓展知识方法一:redhat创建证书—xshell登录redhat:一、创建数字证书1、生成公钥与私钥2、查看证书是否创建成功3、在/root/.ssh/ 路径下 将公钥 id_rsa.pub 覆盖拷贝给 authorized_keys二、将 id_rsa 传给 window电脑三、将 id_rsa 导入进 xshell 软件中四、windows 电脑打开 xshell 软件1、新建会话2、点击用户身份验证,选择public Key3、点.
如何使linux系统下的root用户不保存终端历史记录到.bash_history中
热门推荐
刘书的IT博客
02-15 1万+
———————————————— 1)history -c  //是把Linux下的/root/.bash_history  全给清了,实现不保存,作为黑客是不地道的。 再从其他终端倒腾回去: history |awk -F" "  '{if(NR>0){$1="";print $0}}'|grep -v "multepollserver" > /root/.bash_history
隐藏SSH服务程序版本号
最新发布
Anitoe的博客
07-09 489
使 ssh 客户端以及探测工具在与 ssh 服务器通信过程中通过登录认证之前无法获取到 sshd 程序的具体版本号,从而避免基于SSH版本号的漏洞探测。在 openssh 最新源码的基础上修改,隐藏登录过程中服务端发送给客户端的程序版本信息,编译安装后测试效果。
隐藏远程SSH登陆记录
qq_41661056的博客
01-03 3277
#远程登录w查看不到 ssh -T root@127.0.0.1 /bin/bash -i #不记录ssh公钥在本地.ssh目录中 ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i #不留下.bash_history unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HIS...
linux /var/log/secure 文件中不记录登录日志
Jepson的博客
05-18 2666
发现centos服务器中,/var/log/secure 文件并未记录到用户的登录日志,重启 rsyslog和sshd服务后(重启命令:systemctl restart rsyslog;systemctl restart sshd ),仍未记录。发现 SyslogFacility 配置被注释掉了,去掉注释,重启启动sshd。
去除本机利用ssh协议登陆远程机器的痕迹
weixin_33831196的博客
07-13 268
UbuntuSSH登陆错误一、SSH登陆错误WARNING:REMOTEHOSTIDENTIFICATIONHASCHANGED!出现类似下面的情况:[root@localhost~]#ssh192.168.10.88@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@WARNING:REMOTEHOSTIDENTIF...
黑客神技:掩盖 Linux 服务器上的操作痕迹
weixin_55154866的博客
06-18 98
该脚本只是用来清除攻击服务器之后遗留的一些痕迹。为了隐藏痕迹,黑客在针对服务器实施具体的攻击时,必须仔细考虑使用的每一个方法,以及入侵服务器之后如何隐藏自己的痕迹。通过上面的介绍我们了解到,时间戳也是 “会撒谎的”,因此系统管理员必须意识到他们的许多日志和保护措施是可以被操纵的,虽然看起来好像没有异常。
Centos清除登录痕迹
漠效的博客
10-25 2053
前言 下面介绍的是centos如何清除登录痕迹 【1】空格不记录 执行后,再次输入的命令,如果前面有空格都不会被记录 <1>永久设置环境变量 在.bash_profile 或 /etc/profile 等设置环境变量文件,追加 HISTCONTROL = ignorespace source /root/.bash_profile <2>临时修改 expo...
Linux痕迹隐藏小技巧!
渗透测试教程
03-09 834
目录 隐藏远程SSH登陆记录 清除当前的history记录 隐藏Vim的操作记录 隐藏文件修改时间 锁定文件 清除系统日志痕迹 隐藏远程SSH登陆记录 隐身登录系统,不会被w、last等指令检测到。 ssh -T root@192.0.0.1 /bin/bash -i -T表示不分配伪终端,/usr/bin/bash 表示在登录后调用bash命令 -i 表示是交互式shell 原理 ​ w/last命令日志/var/log/wtmp 是utmp和wtmp的日志接口产生的,而这俩接口是正常登陆分配伪
secureCRT 绿色 免安装 ftp ssh 工具
01-15
2. 不留痕迹:不改变用户系统的原有配置,卸载只需删除相关文件夹。 3. 兼容性强:可以在各种Windows系统上运行,无需担心兼容性问题。 4. 方便共享:可以存储在U盘等移动设备上,随时随地在任何有需求的电脑上使用...
ssh多条件查询
04-02
类似于赶集网的租房的多条件查询,查询代码如下: public List<FinancialProduct> select(FinancialProduct f) throws Exception { Set<FinancialProduct> sets=new HashSet<FinancialProduct>(); StringBuffer hql=new StringBuffer(); hql.append("from FinancialProduct fp where 1=1"); if(f.getProductType()!=null){ hql.append("and fp.productType='").append(f.getProductType()).append("'"); } if(f.getLevels()!=null){ hql.append("and fp.levels='").append(f.getLevels()).append("'"); } if(f.getAttention()!=null){ hql.append("and fp.attention='").append(f.getAttention()).append("'"); } if(f.getMoney()!=null){ hql.append("and fp.money='").append(f.getMoney()).append("'"); } if(f.getServiceGroup()!=null){ hql.append("and fp.serviceGroup='").append(f.getServiceGroup()).append("'"); } String s = hql.toString(); List<FinancialProduct> list = template.find(s); return list; }
ssh_test
03-05
Yii 2高级项目模板 Yii 2 Advanced Project Template是应用程序,最适合开发具有多层的复杂Web应用程序。 该模板包括三层:前端,后端和控制台,每层都是一个单独的Yii应用程序。 该模板旨在在团队开发环境中工作。 它支持在不同环境中部署应用程序。 文档位于 。 目录结构 common config/ contains shared configurations mail/ contains view files for e-mails models/ contains model classes used in both backend and frontend tests/ contains tests for
git使用笔记
L_yangliu的专栏
11-03 2247
有点乱,以后再详细整理,本文是按日期记得笔记。 一, 在GitHub新建托管项目 1,要托管到github,那你就应该要有一个属于你自己的github帐号,所以你应该先到github.com注册 打开浏览器 在地址栏输入地址:github.com 填写用户名、邮箱、密码 点击Sign up即可简单地注册 完成注册,进入github平台, 2,点击new repositories
ssh -t 和 ssh -T 傻傻分不清
打不死的小五
01-15 1716
最近使用ssh -t测试公钥部署时遇到了 PTY allocation request failed on channel 0
SSH 服务详解 (四)-- 本地调用远程主机的命令
tyustli
01-12 4796
SSH 服务详解 (四)-- 本地调用远程主机的命令 SSH 服务器运行在 ubuntu 18.04.1 SSH 客户端在 Windows10 本节主要讲解 ssh 在本地调用远程主机上的命令,不登录远程主机 shell 应用场景: 在实际 shell 脚本的编写过程中,需要通过 ssh 远程执行一个命令,比如新建一个目录等 实现方法: ssh username@hostname command SSH 发送一个命令 通过 Windows 的 powershell 发送如下命令 ssh tyust
ssh -t
weixin_42767321的博客
09-16 3532
ssh -t man ssh ... -T Disable pseudo-terminal allocation. -t Force pseudo-terminal allocation. This can be used to execute arbitrary screen-based programs on a remote machine, ...
Git踩坑(一)—— ssh -T git@github.com
狸匪的博客
01-18 1万+
git -T git@github.com 此条命令是查看主机是否与github网站之间的ssh通信是否连接成功 当输入这条命令后,git终端会让询问是否继续链接 这时我们会习惯的按下回车键,但是!!! 按下回车会报错 解决办法时敲出 yes或者no,当然是前者 再次查看时也是连接正确 ...
ssh命令详解
Ruishine的博客
07-05 1190
默认情况下,SSH监听连接端口22,攻击者使用端口扫描软件就可以看到主机是否运行有SSH服务,将SSH端口修改为大于1024的端口是一个明智的选择,因为大多数端口扫描软件(包括nmap)默认情况都不扫描高位端口。通常情况下,不采用直接用root用户登录到远程主机,由于root用户拥有超级权限,这样会带来安全隐患,所以,一般我们用普通用户登录,当需要管理远程主机时,再切换到root用户下。将#号去掉,然后将bannertest.txt文件的全路径替换/some/path,然后保存,重启ssh服务。
ssh linux远程登录
01-19
以下是在Linux系统中使用SSH进行远程登录的方法: 1. 首先,确保已经安装了SSH服务器。可以通过以下命令检查是否已安装: ```shell yum list installed | grep openssh-server ``` 如果没有输出结果,则需要安装SSH服务器: ```shell yum install openssh-server ``` 2. 修改SSH服务器的配置文件`sshd_config`。可以使用以下命令编辑该文件: ```shell vi /etc/ssh/sshd_config ``` 在该文件中,确保以下配置项的值如下: - `Port`:指定SSH服务器监听的端口,默认为22。 - `ListenAddress`:指定SSH服务器监听的IP地址,默认为0.0.0.0,表示监听所有可用的IP地址。 - `PermitRootLogin`:允许使用root账号进行远程登录。 - `PasswordAuthentication`:允许使用用户名和密码进行验证连接。 3. 启动SSH服务器。可以使用以下命令启动SSH服务器: ```shell service sshd start ``` 现在,你可以使用SSH客户端工具连接到Linux服务器了。在SSH客户端中,使用以下命令连接到远程服务器: ```shell ssh username@server_ip ``` 其中,`username`是你在远程服务器上的用户名,`server_ip`是远程服务器的IP地址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值