痕迹清理
========================================

历史命令
----------------------------------------
- ``unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null;``
- ``kill -9 $$`` kill history
- ``history -c``
- 在 ``HISTSIZE=0`` 中设置 ``HISTSIZE=0``

清除/修改日志文件
----------------------------------------
- ``/var/log/btmp``
- ``/var/log/lastlog``
- ``/var/log/wtmp``
- ``/var/log/utmp``
- ``/var/log/secure``
- ``/var/log/message``

登录痕迹
----------------------------------------
- 删除 ``~/.ssh/known_hosts`` 中记录
- 修改文件时间戳
    - ``touch –r``
- 删除tmp目录临时文件

操作痕迹
----------------------------------------
- vim 不记录历史命令 ``:set history=0``
- ssh 登录痕迹
    - 无痕登录 ``ssh -T user@host /bin/bash -i``

覆写文件
----------------------------------------
- shred
- dd
- wipe

难点
----------------------------------------
- 攻击和入侵很难完全删除痕迹，没有日志记录也是一种特征
- 即使删除本地日志，在网络设备、安全设备、集中化日志系统中仍有记录
- 留存的后门包含攻击者的信息
- 使用的代理或跳板可能会被反向入侵

注意
----------------------------------------
- 在操作前检查是否有用户在线
- 删除文件使用磁盘覆写的功能删除
- 尽量和攻击前状态保持一致

参考链接
----------------------------------------
- `Linux 入侵痕迹清理技巧 <https://mp.weixin.qq.com/s/i2WvFmF1qQjbx-BaStXb1Q>`_