history linux 日志服务器_踏雪无痕—linux入侵痕迹清理指南

最新推荐文章于 2024-05-23 16:35:49 发布
最新推荐文章于 2024-05-23 16:35:49 发布
阅读量326 收藏 1
点赞数
文章标签: history linux 日志服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39801202/article/details/111647080
版权

afd5e78f9d12d1d52340d9fc2f6760f0.gif

0x00 前言 前段时间做项目遇到了一次翻车的情况——留的计划任务后门被管理员发现了,但是好在经过一番缠斗,权限还是比较稳的留住了。 而且还有意外的收获,从管理员执行的排查命令中了解到自己做痕迹清理还有哪些欠缺之处,索性整理一下Linux入侵痕迹清理的要点,水一篇文章。 0x01 清除登陆日志 我是通过ssh密码复用登陆目标的linux主机,那不可避免的会留下ssh登陆的痕迹,首先要清除的就是登陆日志这部分。 查看登陆记录有两条命令:lastlastlog,分别使用的是 /var/log/wtmp/var/log/lastlog 日志文件。 476487cf644d94ce450e12de22d5bea8.png 两个文件都是二进制形式存储,之前分享过一个小工具可以很方便地修改这两个文件: https://mp.weixin.qq.com/s/PIlNIq8nGHDSXEfdJtanZA 除此之外,还有下面的日志会记录登陆信息(明文存储): /var/log/messages /var/log/secure a453a5721bde18402d2dba0e2818d231.png 用vi或sed直接修改即可。 如果你登陆成功前做过几次失败的尝试,别忘记清除下面的登陆失败日志(二进制存储): /var/log/btmp 70fba80a831db6eae438c8f124089ffc.png 用sed直接修改或echo全部清除。 附带两条用sed清除日志会用到的命令。

# 删除所有匹配到字符串的行

sed  -i '/192.168.108.33/'d  /var/log/messages

# 全局替换登录IP地址

sed -i  's/1.1.1.2/1.1.1.1/g' /var/log/secure

0x02 清除服务日志 一般是指清除拿权限过程中使用的服务,或留后门过程使用的服务。 比如你是通过webshell拿到的权限,记得清除web日志,不同的web容器日志在不同的位置,比如apache的可能在/var/log/httpd下面。 如果是通过数据库漏洞,要清除数据库的日志,一般在数据库软件根目录下,或/var/log目录下。 计划任务getshell,清除计划任务日志/var/log/cron。 以此类推…… 比较容易忽略的是,当你把一些后门软件注册成服务运行时,会在/var/log/messages里留下软件相关信息和启动记录。(比如打隧道) 6a51ab42de520e6aadf5d0503456360b.png 0x03 清除历史命令 这个很重要啦,如果不清除自己在入侵后执行的命令history: 1、很容易被管理员发现入侵痕迹。 2、被发现后管理员可以理清楚你的入侵路径和后门位置,导致权限丢失。 查看历史命令的命令:history 62f369d650d7b1327426741067b5d233.png 记录历史命令的文件:~/.bash_history 11aada85873843c3f5bdc03612d01df1.png 有时你会发现,为什么文件记录和直接history查看的结果不一样,直接history能看到的命令似乎更多一点? 其实当前登陆用户执行过的命令会记录在一个缓冲区里,直到该用户退出登陆之后才会写入文件。而history命令能查看到缓冲区的内容,所以能看到的命令更多一点,缓冲区的内容只有自己可见。 了解这个原理,那清除历史命令的方法也很简单:每次退出使用【kill -9 $$】命令退出,不给当前的shell留时间去处理后事,缓冲区的命令也就没时间写入到文件了。 如果已经写入的怎么办,vi或sed修改~/.bash_history文件删除掉命令就好了。不建议全部清除,有种此地无银三百两的感觉。 0x04 不要用vim 修改或查看一些文件的时候,不要用vim。 否则你会在~/.viminfo文件中看到你打开过哪些文件,在vim里执行过什么命令(搜索哪些字符串),删除过什么内容。当然管理员也能看到。 23cbc5414c2936373a5f5fbf32ac7663.png 0x05 文件时间 追求完美的话,一些敏感的文件或者你留下的后门要修改文件时间,不然可能会被管理员根据时间看出来文件被修改过。 用ls -al命令可以查看文件时间。 6e05138a77dcdc54aba196de9fd0c546.pngtouch -r命令修改文件时间——touch -r A B,使B文件时间变得和A文件相同。 25a90b5b39ecbdbb3f6b379a49e4df27.png 一般来说这样就可以了,但是防不住管理员用stat命令查看。 4b8c3bb3ecfff32bca53f6a11f09d07e.png stat命令可以看到三个时间: 最近访问时间(atime) :只要文件的内容被读取,访问时间就会更新。 最近更改时间(mtime) :当文件的内容数据发生改变,此文件的数据修改时间就会跟着相应改变。 最近改动时间(ctime) :当文件的状态(权限or属性)发生变化,就会相应改变这个时间。 后两个看名字可能不太好区分,它们还可以翻译成:数据修改时间,状态修改时间。 我们先改动一下passwd文件,用stat查看时间,发现三个时间全部更改了,这很容易被发现。 a57136e5f38a52ed459ac6e6e7622c48.png 赶快用touch -r修改passwd文件的时间,再次查看 afb1c082f352f0ab7417767bae464529.png db38f78fc9c062ba3681ca6e5502f433.png 发现一个很严重的问题,touch -r只能同步最近访问和最近更改时间,但最近改动时间反而会更新到当前时间。有经验的管理员用stat命令只要重点看最近改动时间就会发现入侵痕迹。 怎么解决这个问题?了解了原理其实解决办法也很简单: 1、先修改系统时间。 date -s "20140712 18:30:50" 2、再修改文件时间即可。 ed030afc709a7869c81215898d4e20a6.png 3、最后别忘了把系统时间恢复:hwclock --hctosys c762ded74934ec6bce26d47b1a91f7b9.png 0x06 后记 这周总算没拖更,欢迎师傅们指点补充~ 0x07 参考文献 https://mp.weixin.qq.com/s/i2WvFmF1qQjbx-BaStXb1Q https://www.linuxprobe.com/linux-simple-2.html https://www.cnblogs.com/pacino12134/p/11481258.html https://www.cnblogs.com/morganchen/p/9437066.html

END.

欢迎留言~

欢迎关注~

欢迎点赞~

8143d943b75c45ab1fa73134280997ba.png

我是小黑,喵~

weixin_39801202
关注
Python安全小工具之Linux日志痕迹清除
Mi1k7ea
11-04 1973
主要过程为定义一个log列表,含有Linux中常见的log文件,然后使用os库的path.exists()方法查看是否存在该文件,若存在则使用subprocess库调用sed命令来删除日志中与指定host相关的行以实现痕迹的清除。 先来看看Linux中sed命令的使用: 其中‘/127.0.0.1/d’中,d是指定进行删除操作,删除的内容为含有“127.0.0.1”的行,而sed命令的
Linux 痕迹清理
悟能的师兄的专栏
09-21 2074
一:Linux痕迹清理 清理命令记录: (1)仅清理当前用户: history -c (2)使系统不再保存命令记录:vi /etc/profile,找到HISTSIZE这个值,修改为0 (3)删除记录,至少删除下面几项日志 删除登录失败记录:echo > /var/log/btmp 删除登录成功记录:echo > /var/log/wtmp (此时执行last命令就会发现没有记录) 删除日志记录:echo > /var/log/secure 二:Linux日志列表 日志
Linux 痕迹清理 & 隐藏进程
3569
09-29 1628
1. 偷换系统二进制文件( ps , top 等)  防范:  比对hash;系统整性检查工具,比如tripwrie、aide等 2. 修改hook调用函数 (修改命令返回结果,原函数getdents) 防范:  sysdig(开源),检测LD_PRELOAD环境变量是否有异常,ld.so.preload文件异常(时间,大小) 3. 修改进程名字 防范:  /proc目录,查看exe的...
Linux痕迹清除技术
Captain_RB的博客
01-17 6768
系统入侵后要对操作痕迹进行清除,如果上传工具和木马文件要做隐藏和伪装,以免引起警觉甚至丢失目标,“清道夫”的工作虽有些烦杂,但这些工作直接影响到目标控守的持久性。
linux清除痕迹的脚本
做你想做的人,没有时间的限制,只要愿意,什么时候都可以start。
06-28 1324
#!/usr/bin/bash #edit www.jbxue.com echo > /var/log/syslog echo > /var/log/messages echo > /var/log/httpd/access_log echo > /var/log/httpd/error_log echo > /var/log/xferlog echo > /...
基于Linux系统下利用S3C2440开发板与GPRS无线通信模组
03-19
基于Linux系统下利用S3C2440开发板与GPRS无线通信模组
可在windows使用的类linux工具xargs
09-13
在Windows操作系统中,由于其与Linux环境的差异,很多Linux用户可能会感到不适应,特别是对于习惯使用命令行工具的人来说。然而,有一款名为`xargs`的工具,它为Windows用户提供了类Linux的体验,使得在Windows上...
SQL SERVER 2000日志清理工具V2.5
08-09
SQL Server 2000日志清理工具V2.5是一款专为Microsoft SQL Server 2000设计的实用程序,旨在帮助数据库管理员管理和优化事务日志空间。在SQL Server中,事务日志是数据库的重要组成部分,记录了所有对数据库进行的...
通达信指标——踏雪无痕(副图).doc
07-30
通达信指标——踏雪无痕(副图).doc
踏雪无痕 快速清除系统和IE 操作记录 用如其名
01-18
清除系统和IE 各种操作记录 各种痕迹 只不过是比较老 的软件了
CentOS系统通过日志反查是否被入侵
09-30
最近有个朋友的服务器发现有入侵痕迹后来处理解决但是由于对方把日志清理了无疑给排查工作增加了许多难度。其实日志的作用是非常大的。学会使用通过日志来排查解决我们工作中遇到的一些问题是很有必要的。下面就一一道来。
Linux入侵痕迹清理总结
weixin_34415923的博客
03-15 650
rm -f -r /var/log/*rm .bash_historyrm recently_used
linux shell oracle脚本_神不知鬼不晓,使用 Shell 脚本掩盖 Linux 服务器
weixin_39637646的博客
11-24 142
使用 Shell 脚本在 Linux 服务器上能够控制、毁坏或者获取任何东西,通过一些巧妙的攻击方法黑客可能会获取巨大的价值,但大多数攻击也留下踪迹。当然,这些踪迹也可通过 Shell 脚本等方法来隐藏。寻找攻击证据就从攻击者留下的这些痕迹开始,如文件的修改日期。每一个 Linux 文件系统中的每个文件都保存着修改日期。系统管理员发现文件的最近修改时间,便提示他们系统受到攻击,采取行动锁定系统。然...
内网渗透-Windows&Linux痕迹清除
lza20001103的博客
09-26 6049
Windows&Linux痕迹清除 文章目录Windows&Linux痕迹清除前言Windows痕迹清除Windows日志清理meterpreter清理日志Linux痕迹清除后记 前言 当我们进行内网一系列的渗透之后,就会留下一些命令的痕迹,我们离开的时候,为了防止管理员发现,我们就需要进行内网渗透最后一个环节的内容了,就是进行痕迹清除。命令有点多,大家好好做一下笔记吧。 Windows痕迹清除 Windows日志 如何查看: 事件查看器->windows日志 win+r eventv
linux之bash的基础特性(一)-->命令历史(history命令),命令补全,路径补全
diandianchi9520的博客
05-11 332
关于命令历史-->history 1.与之相关的环境变量:HISTSIZE,HISTFILE-->~/.bash_history,HISTFILESIZE,HISTCONTROL,HISTTIMEFORMAT   HISTSIZE-->记录当前shell进程下命令历史的条数默认大小为1000   HISTFILE-->可以用来设置保存历史命令文件的位置默认为...
history清除历史记录
最新发布
weixin_53389944的博客
05-23 1814
删除所有条目从而清空历史列表history -c再将当前历史写入到历史文件中history -w。
Linux 入侵痕迹清理技巧
热门推荐
09-10 4万+
在攻击结束后,如何不留痕迹的清除日志和操作记录,以掩盖入侵踪迹,这其实是一个细致的技术活。你所做的每一个操作,都要被抹掉;你所上传的工具,都应该被安全地删掉。 01、清除history历史命令记录 查看历史操作命令: 查看历史操作命令:history history记录文件:more ~/.bash_history 第一种方式: (1)编辑history记录文件,删除部分不想被保...
FinallShell中出现了set +o history; 命令,但是我都没有输入过这个命令,问下大家这是什么原因?
weixin_64268664的博客
03-08 1570
我进命令界面无意间按了下上键发现的这个命令,但是我清楚的知道我没有输入过。这是我百度这个命令的功能,怕不是被入侵了?有无大佬遇到相同的情况啊,这咋回事┭┮﹏┭┮。
清空linux+history_linux下清空history中记录的历史命令_网站服务器运行维护
weixin_36193690的博客
12-24 795
nginx隐藏index.php和开启pathinfo模式的配置方法详解_网站服务器运行维护nginx 通过 location 的规则匹配将 php 转发给 php-fpm 处理后获取结果然后返回给客户端,转发模式可以通过 unix sock 或 tcp socket 方式。下面由Linux教程栏目给大家介绍linux环境下,清空history中记录的历史命令的方法,希望对需要的朋友有所帮助! 一...
Linux小企鹅输入法fcitx 4.0.0 安装配置指南
"fcitx4.0.pdf是一个关于Linux下的小企鹅输入法(fcitx)4.0.0的帮助文档,涵盖了软件概述、安装配置、功能说明、常见问题FAQ和致谢等内容。" 在Linux操作系统中,fcitx是一个小巧且依赖较少的简体中文输入法框架,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值