windows和linux入侵痕迹清理

已于 2024-06-05 15:20:12 修改
阅读量19 收藏
点赞数
文章标签: windows linux
于 2024-06-05 15:18:56 首次发布
原文链接:https://m.freebuf.com/articles/system/266458.html 蜜罐小明哥
版权

一、windows

 wevtutil el 列出系统中所有日志名称

wevtutil cl system 清理系统日志

wevtutil cl application 清理应用程序日志

wevtutil cl security 清理安全日志 

清除recent:

        在文件资源管理器中点击“查看”->“选项”->在常规->隐私中点击”清除”按钮 或直接打开C:\Users\Administrator\Recent并删除所有内容 或在命令行中输入del /f /s /q “%userprofile%\Recent*.*

meterperter自带清除日志功能:

clearev 清除windows中的应用程序日志、系统日志、安全日志

二、linux

清除命令历史记录

histroy -r #删除当前会话历史记录

history -c #删除内存中的所有命令历史

rm .bash_history #删除历史文件中的内容

HISTZISE=0 #通过设置历史命令条数来清除所有历史记录 在隐蔽的位置执行命令 使用vim打开文件执行命令 :set history=0 :!command

linux日志文件

/var/run/utmp 记录现在登入的用户

/var/log/wtmp 记录用户所有的登入和登出

/var/log/lastlog 记录每一个用户最后登入时间

/var/log/btmp 记录错误的登入尝试

/var/log/auth.log 需要身份确认的操作

/var/log/secure 记录安全相关的日志信息

/var/log/maillog 记录邮件相关的日志信息

/var/log/message 记录系统启动后的信息和错误日志

/var/log/cron 记录定时任务相关的日志信息

/var/log/spooler 记录UUCP和news设备相关的日志信息

/var/log/boot.log 记录守护进程启动和停止相关的日志消息

完全删除日志文件:

cat /dev/null > filename
: > filename
> filename
echo "" > filename
echo > filename

针对性删除日志文件:

删除当天日志 sed -i '/当天日期/'d filename

篡改日志文件:

将所有172.16.13.1 ,ip替换为127.0.0.1 sed -i 's/170.170.64.17/127.0.0.1/g'

一键清除脚本:

#!/usr/bin/bash
echo > /var/log/syslog
echo > /var/log/messages
echo > /var/log/httpd/access_log
echo > /var/log/httpd/error_log
echo > /var/log/xferlog
echo > /var/log/secure
echo > /var/log/auth.log
echo > /var/log/user.log
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > /var/log/btmp
echo > /var/run/utmp
rm ~/./bash_history
history -c

claydemo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux 入侵痕迹清理技巧
09-10 4万+
在攻击结束后,如何不留痕迹的清除日志和操作记录,以掩盖入侵踪迹,这其实是一个细致的技术活。你所做的每一个操作,都要被抹掉;你所上传的工具,都应该被安全地删掉。 01、清除history历史命令记录 查看历史操作命令: 查看历史操作命令:history history记录文件:more ~/.bash_history 第一种方式: (1)编辑history记录文件,删除部分不想被保...
Linux入侵痕迹清理
小晓晓晓林的博客
02-20 6798
Linux入侵痕迹清理 环境:Centos7、Kali虚拟机等 清除登陆系统成功的记录 [root@localhost root]# echo > /var/log/wtmp//此文件默认打开时乱码,可查到ip等信息 [root@localhost root]#last//此时即查不到用户登录信息 清除之前能看到之前其他机器的登录信息 清除登陆系...
WindowsLinux入侵痕迹清理
TKXS
10-04 1572
Windows痕迹清理 windows 日志路径: 安全日志文件:%systemroot%\system32\config\SecEvent.EVT 系统日志文件:%systemroot%\system32\config\SysEvent.EVT 应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB Internet信息服务FTP日志默认
Linux清理入侵痕迹
jingzhiz 专属移动笔记
09-28 287
一、清除history历史命令记录 方式一: (1)编辑history记录文件,删除部分不想被保存的历史命令。 vim ~/.bash_history (2)清除当前用户的history命令记录 history -c 方式二: (1)利用vim特性删除历史命令 #使用vim打开一个文件 vi test.txt # 设置vim不记录命令,Vim会将命令历史记录,保存在viminfo...
Linux 入侵痕迹清理.pdf
09-09
Linux 入侵痕迹清理】 在网络安全领域,入侵者在完成攻击后往往需要进行痕迹清理,以避免被追踪和发现。Linux系统中的入侵痕迹主要包括历史命令记录、系统日志、Web服务器日志以及文件残留。以下是一些常用的方法...
清理入侵后的三个重要痕迹.txt
07-18
清理入侵后的三个重要痕迹.txt
Linux入侵检测方法及系统安全建议.pdf
09-06
Linux入侵检测方法及系统安全建议主要关注的是保护Linux操作系统免受恶意攻击和保障系统稳定运行。随着信息技术的快速发展,Linux因其开源、稳定和高效的特点,成为许多业务系统的基础平台,尤其是气象部门。然而,...
应急响应-攻击入侵排查 教学PPT
11-17
为检测这些后门,有专门的WindowsLinux平台查杀工具,如Windows下的Webshell检测工具和Linux下的后门检查工具。 总结来说,应急响应中的攻击入侵排查是一项复杂的工作,需要对WEB日志、系统日志有深入理解,并能...
Python 基础——元组
hpz3292887609的博客
07-16 338
3.元组类型定义时重要的是“ , ” ,创建和访问一个元组。+ : 拼接,左右的类型必须。and or 逻辑操作符。5.元组相关的操作符一致。#该代码会显示运行错误。4.更新和删除一个元组。
CopyOnWriteArrayList
我这个代码你能看懂吗?
07-16 1199
线程安全是线程安全的,适用于多线程环境。读写分离:读操作高效,写操作通过复制数组实现线程安全。适用场景:适用于读多写少的场景,写操作频繁的场景下性能较差。通过合理使用,可以在多线程环境中实现高效的读操作,同时保证线程安全。写操作中的锁在执行写操作时使用内部的锁来确保线程安全。每次写操作都会获取锁,复制底层数组,并在修改完成后释放锁。读操作中的无锁机制:读操作不需要加锁,因为读操作直接访问的是一个稳定的、不可变的数组。适用场景适用于读操作频繁、写操作较少的场景,如缓存、白名单等。通过这种设计,
Python 基础——列表(list)
hpz3292887609的博客
07-16 355
通过元素的索引值(index)从列表获取单个元素(列表索引值是从0开始的)以逗号分隔的不同数据项使用方括号括起来,即可创建列表。index函数:返回参数在列表中的位置。若再次输入俩个元素,则出现以下错误。(以上都是将元素追加到列表的末尾)count函数:元素出现的次数。1.使用函数:append()2.使用函数:extend()3.使用函数:insert()仍然会出现错误,进行以下修改。reverse函数:反转列表。由此可得到列表的内置函数。2.交换列表中的元素。3.从列表中删除元素。函数remove()
Qt编写自定义控件:可交互的列表控件
友善啊,朋友的博客
07-19 198
【代码】Qt编写自定义控件:可交互的列表控件。
Windows命令行(CMD)中,tasklist | findstr(搜索并显示包含特定字符串的进程信息)
小丁的博客
07-16 470
但是,请注意,PID是数值,而进程名称是文本字符串。如果你正在搜索PID,确保不要包含任何前缀或空格,因为。你也可以结合使用进程名称和PID的一部分来搜索,但这样做可能会返回不期望的结果,因为。命令时,你可以搜索并显示包含特定字符串的进程信息。注意这里没有引号包围PID,因为PID是数值,且。如果你想要找到所有属于特定用户的进程,你可以使用。更直接且可能更高效,特别是当处理大量进程时。命令的输出中PID前通常会有空格,但。命令用于显示当前运行的进程列表,而。命令的输出中PID前面通常会有空格。
java 生成树结构(可通过id、code)公共方法
_Mr丶s
07-16 240
【代码】java 生成树结构(可通过id、code)公共方法。
Linux文件和目录常用命令
最新发布
loongnoy的博客
07-19 276
可以理解为现实生活中的管子,管子的一头塞东西进去,另一头取出来,这里 | 的左右分为俩端,左端塞东西(写),右端取东西(读)ls 是英文单词 list 的简写,其功能为列出目录的内容,是用户最常用的命令之一,类似于 DOs 下的dir 命令。-r 若给出的源文件是目录文件,则cp将递归复制该目录下的所有子目录和文件,目标文件必须为一个目录名。·cp 命令的功能是将给出的文件或目录复制到另一个文件或目录中,相当于DOS下的copy命令。的简写,其功能为更改当前的工作目录,也是用户最常用的命令之一。
单链表算法 - 链表分割
黎相思的技术博客
07-16 238
现有一链表的头指针 ListNode* pHead,给一定值x,编写一段代码将所有小于x的。题目来自【牛客题霸】当我们提交代码之后代码有问题,那么代码到底哪里的逻辑不合适呢?链表分割_牛客题霸_牛客网。
清理入侵痕迹linux
10-21
清理入侵痕迹是指在Linux系统中检测和删除入侵者在系统中留下的痕迹和恶意代码,以恢复系统的安全性。以下是清理入侵痕迹的一些步骤和方法。 首先,我们需要检测系统中是否存在入侵痕迹。可以通过查看系统日志、检查系统文件的完整性、扫描恶意软件和根套件工具等方式来进行检测。 确定存在入侵痕迹后,下一步是对其进行清理。可以按照以下步骤进行清理: 1. 确定受损的文件和系统组件:在检测过程中,记录被篡改、删除或添加的文件和系统组件,以便后续清理操作。 2. 中断入侵者的访问:如果入侵者仍然有权限访问系统,应立即中断其访问权限,禁用已被破坏或以其他方式受损的账户,并更改相关账户的密码。 3. 清除恶意文件和代码:根据之前记录的信息,找到并删除入侵者留下的恶意文件和代码。可以使用命令行工具如rm来删除文件,使用文本编辑器来查找和删除恶意代码。 4. 更新和修复受损的系统组件:根据之前的记录,恢复受损或篡改的系统组件。可以重新安装受影响的软件包或使用系统提供的更新工具来修复文件。 5. 加固系统安全性:完成清理后,应加固系统的安全性,防止再次遭受入侵。可以采取以下措施:更新系统和软件包、安装防火墙、配置访问控制和权限、加密通信等。 最后,建议定期备份重要数据,并定期检查系统是否被入侵。在遭受入侵后,及时采取措施进行清理和加固,以保障系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值