6.2.3. 痕迹清理¶

6.2.3.1. 历史命令¶

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null;
kill -9 $$ kill history
history -c
在 HISTSIZE=0 中设置 HISTSIZE=0

6.2.3.2. 清除/修改日志文件¶

/var/log/btmp
/var/log/lastlog
/var/log/wtmp
/var/log/utmp
/var/log/secure
/var/log/message

6.2.3.3. 登录痕迹¶

删除 ~/.ssh/known_hosts 中记录
修改文件时间戳
- touch –r
删除tmp目录临时文件

6.2.3.4. 操作痕迹¶

vim 不记录历史命令 :set history=0
ssh 登录痕迹
- 无痕登录 ssh -T user@host /bin/bash -i

6.2.3.5. 覆写文件¶

shred
dd
wipe

6.2.3.6. 难点¶

攻击和入侵很难完全删除痕迹，没有日志记录也是一种特征
即使删除本地日志，在网络设备、安全设备、集中化日志系统中仍有记录
留存的后门包含攻击者的信息
使用的代理或跳板可能会被反向入侵

6.2.3.7. 注意¶

在操作前检查是否有用户在线
删除文件使用磁盘覆写的功能删除
尽量和攻击前状态保持一致

6.2.3.8. 参考链接¶

Linux 入侵痕迹清理技巧

Read the Docs v: latest

Versions: latest

Downloads: pdf; html; epub

On Read the Docs: Project Home; Builds

Free document hosting provided by Read the Docs.