Linux 入侵痕迹清理方法

vim ~/.bash_history 

(2)清除当前用户的history命令记录

history -c 

第二种方式：

(1)利用vim特性删除历史命令

#使用vim打开一个文件 

vi test.txt 

# 设置vim不记录命令，Vim会将命令历史记录，保存在viminfo文件中。 

:set history=0 

# 用vim的分屏功能打开命令记录文件.bash_history，编辑文件删除历史操作命令 

vsp ~/.bash_history 

# 清除保存.bash_history文件即可。 

(2)在vim中执行自己不想让别人看到的命令

:set history=0 

:!command 

第三种方式：

通过修改配置文件/etc/profile，使系统不再保存命令记录。

HISTSIZE=0 

第四种方式：

登录后执行下面命令,不记录历史命令(.bash_history)

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0

02、清除系统日志痕迹

Linux 系统存在多种日志文件，来记录系统运行过程中产生的日志。

/var/log/btmp   记录所有登录失败信息，使用lastb命令查看 

/var/log/lastlog 记录系统中所有用户最后一次登录时间的日志，使用lastlog命令查看 

/var/log/wtmp    记录所有用户的登录、注销信息，使用last命令查看 

/var/log/utmp    记录当前已经登录的用户信息，使用w,who,users等命令查看 

/var/log/secure   记录与安全相关的日志信息 

/var/log/message  记录系统启动后的信息和错误日志 

第一种方式：清空日志文件

清除登录系统失败的记录：

[root@centos]# echo > /var/log/btmp  

[root@centos]# lastb             //查询不到登录失败信息 

清除登录系统成功的记录：

[root@centos]# echo > /var/log/wtmp   

[root@centos]# last              //查询不到登录成功的信息 

清除相关日志信息：

清除用户最后一次登录时间：echo > /var/log/lastlog          #lastlog命令 

清除当前登录用户的信息：echo >   /var/log/utmp             #使用w,who,users等命令 

清除安全日志记录：cat /dev/null >  /var/log/secure 

清除系统日志记录：cat /dev/null >  /var/log/message 

第二种方式：删除/替换部分日志

日志文件全部被清空，太容易被管理员察觉了，如果只是删除或替换部分关键日志信息，那么就可以完美隐藏攻击痕迹。

# 删除所有匹配到字符串的行,比如以当天日期或者自己的登录ip 

sed  -i '/自己的ip/'d  /var/log/messages 

# 全局替换登录IP地址： 

sed -i 's/192.168.166.85/192.168.1.1/g' secure 

03、清除web入侵痕迹

第一种方式：直接替换日志ip地址

sed -i 's/192.168.166.85/192.168.1.1/g' access.log 

第二种方式：清除部分相关日志

# 使用grep -v来把我们的相关信息删除, 

cat /var/log/nginx/access.log | grep -v evil.php > tmp.log 

# 把修改过的日志覆盖到原日志文件 

cat tmp.log > /var/log/nginx/access.log/ 

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!