6.2.3. 痕迹清理¶
6.2.3.1. 历史命令¶
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null;
kill -9 $$
kill historyhistory -c
- 在
HISTSIZE=0
中设置HISTSIZE=0
6.2.3.2. 清除/修改日志文件¶
/var/log/btmp
/var/log/lastlog
/var/log/wtmp
/var/log/utmp
/var/log/secure
/var/log/message
6.2.3.3. 登录痕迹¶
- 删除
~/.ssh/known_hosts
中记录 - 修改文件时间戳
touch –r
- 删除tmp目录临时文件
6.2.3.4. 操作痕迹¶
- vim 不记录历史命令
:set history=0
- ssh 登录痕迹
- 无痕登录
ssh -T user@host /bin/bash -i
- 无痕登录
6.2.3.5. 覆写文件¶
- shred
- dd
- wipe
6.2.3.6. 难点¶
- 攻击和入侵很难完全删除痕迹,没有日志记录也是一种特征
- 即使删除本地日志,在网络设备、安全设备、集中化日志系统中仍有记录
- 留存的后门包含攻击者的信息
- 使用的代理或跳板可能会被反向入侵
6.2.3.7. 注意¶
- 在操作前检查是否有用户在线
- 删除文件使用磁盘覆写的功能删除
- 尽量和攻击前状态保持一致