Question

6.2.3. 痕迹清理

6.2.3.1. 历史命令

• unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null;
• kill -9 $$ kill history
• history -c
• 在 HISTSIZE=0 中设置 HISTSIZE=0

6.2.3.2. 清除/修改日志文件

• /var/log/btmp
• /var/log/lastlog
• /var/log/wtmp
• /var/log/utmp
• /var/log/secure
• /var/log/message

6.2.3.3. 登录痕迹

• 删除 ~/.ssh/known_hosts 中记录

• 修改文件时间戳

  • touch –r

• 删除tmp目录临时文件

6.2.3.4. 操作痕迹

• vim 不记录历史命令 :set history=0

• ssh 登录痕迹

  • 无痕登录 ssh -T user@host /bin/bash -i

6.2.3.5. 覆写文件

• shred
• dd
• wipe

6.2.3.6. 难点

• 攻击和入侵很难完全删除痕迹，没有日志记录也是一种特征
• 即使删除本地日志，在网络设备、安全设备、集中化日志系统中仍有记录
• 留存的后门包含攻击者的信息
• 使用的代理或跳板可能会被反向入侵

6.2.3.7. 注意

• 在操作前检查是否有用户在线
• 删除文件使用磁盘覆写的功能删除
• 尽量和攻击前状态保持一致

6.2.3.8. 参考链接

• Linux 入侵痕迹清理技巧