vim ~/.bash_history
//編輯history記錄檔案,刪除部分不想被儲存的歷史命令
history -c
//清除當前使用者的history命令記錄
histsize=0
//通過修改配置檔案/etc/profile,使系統不再儲存命令記錄
/var/log/btmp 記錄所有登入失敗資訊,使用lastb命令檢視
/var/log/lastlog 記錄系統中所有使用者最後一次登入時間的日誌,使用lastlog命令檢視
/var/log/wtmp 記錄所有使用者的登入、登出資訊,使用last命令檢視
/var/log/utmp 記錄當前已經登入的使用者資訊,使用w,who,users等命令檢視
/var/log/secure 記錄與安全相關的日誌資訊
/var/log/message 記錄系統啟動後的資訊和錯誤日誌
[root@centos]# echo > /var/log/btmp
[root@centos]# lastb
//清除登陸系統失敗的記錄,查詢不到登入失敗資訊
[root@centos]# echo > /var/log/wtmp
[root@centos]# last
//清除登入系統成功的記錄,查詢不到登入成功的資訊
清除當前登入使用者的資訊:echo > /var/log/utmp #使用w,who,users等命令
清除安全日誌記錄:cat /dev/null > /var/log/secure
清除系統日誌記錄:cat /dev/null > /var/log/message
sed -i '/自己的ip/'d /var/log/messages
//刪除所有匹配到字串的行,比如以當天日期或者自己的登入ip
sed -i 's/192.168.166.85/192.168.1.1/g' secure
//全域性替換登入ip位址
sed -i 's/192.168.166.85/192.168.1.1/g' access.log
//直接替換日誌ip位址
cat /var/log/nginx/access.log | grep -v evil.php > tmp.log
//使用grep -v來把我們的相關資訊刪除
cat tmp.log > /var/log/nginx/access.log/
//把修改過的日誌覆蓋到原日誌檔案
ssh -t [email protected] /bin/bash -i
//隱身登入系統,不會被w、who、last等指令檢測到
ssh -o userknownhostsfile=/dev/null -t user@host /bin/bash –i
//不記錄ssh公鑰在本地.ssh目錄中
6 6 痕跡清理
6.6.1.4.時間軸 6.6.2.linux 6.6.3.難點 6.6.4.注意 登入日誌 6.6.1.3.1.prefetch 預讀取資料夾,用來存放系統已訪問過的檔案的預讀資訊,擴充套件名為pf。位置在c windows prefetch。6.6.1.3.2.jumplists 6.6.1.3...
linux中如何清除入侵痕跡?
1 清除登入日誌 echo var log wtmp2 清除登入失敗日誌 echo var log btmp3 清除安全日誌 echo var log secure4 去除last login回顯資訊,將以下行注釋掉重啟 sshd服務 vi etc ssh sshd config printlast...
Linux 痕跡清理 隱藏程序
1.偷換系統二進位制檔案 ps top 等 防範 比對hash 系統完整性檢查工具,比如tripwrie aide等 2.修改hook呼叫函式 修改命令返回結果,原函式getdents 防範 sysdig 開源 檢測ld preload環境變數是否有異常,ld.so.preload檔案異常 時間,大...