6.2.3. 痕迹清理

6.2.3.1. 历史命令

  • unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null;

  • kill -9 $$ kill history

  • history -c

  • HISTSIZE=0 中设置 HISTSIZE=0

6.2.3.2. 清除/修改日志文件

  • /var/log/btmp

  • /var/log/lastlog

  • /var/log/wtmp

  • /var/log/utmp

  • /var/log/secure

  • /var/log/message

6.2.3.3. 登录痕迹

  • 删除 ~/.ssh/known_hosts 中记录

  • 修改文件时间戳

    • touch –r

  • 删除tmp目录临时文件

6.2.3.4. 操作痕迹

  • vim 不记录历史命令 :set history=0

  • ssh 登录痕迹

    • 无痕登录 ssh -T user@host /bin/bash -i

6.2.3.5. 覆写文件

  • shred

  • dd

  • wipe

6.2.3.6. 难点

  • 攻击和入侵很难完全删除痕迹,没有日志记录也是一种特征

  • 即使删除本地日志,在网络设备、安全设备、集中化日志系统中仍有记录

  • 留存的后门包含攻击者的信息

  • 使用的代理或跳板可能会被反向入侵

6.2.3.7. 注意

  • 在操作前检查是否有用户在线

  • 删除文件使用磁盘覆写的功能删除

  • 尽量和攻击前状态保持一致

6.2.3.8. 参考链接