Linux入侵痕迹清理

企业开发 2020-02-21 10:20:17 阅读次数: 0

Linux入侵痕迹清理

环境:Centos7、Kali虚拟机等

清除登陆系统成功的记录

[root@localhost root]# echo > /var/log/wtmp //此文件默认打开时乱码,可查到ip等信息

[root@localhost root]# last //此时即查不到用户登录信息

清除之前能看到之前其他机器的登录信息

清除登陆系统失败的记录

[root@localhost root]# echo > /var/log/btmp //此文件默认打开时乱码,可查到登陆失败信息

扫描二维码关注公众号,回复: 9300671 查看本文章

[root@localhost root]# lastb //查不到登陆失败信息

清除历史执行命令

[root@localhost root]# history -c //清空历史执行命令

修改/etc/profile,把HISTSIZE改为想记录的条数

[root@localhost root]# echo > ./.bash_history //或清空用户目录下的这个文件即可

导入空历史记录

[root@localhost root]# vi /root/history //新建记录文件

[root@localhost root]# history -c //清除记录 

[root@localhost root]# history -r /root/history.txt //导入记录 

[root@localhost root]# history //查询导入结果

清空命令记录

1)echo "'" > log.txt

2)echo > log.txt ,这种文件里会存在空格

3)cat /dev/null > log.txt

不记录历史命令

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG;

export HISTFILE=/dev/null;

export HISTSIZE=0;

export HISTFILESIZE=0

此方法仅在交互的shell中有效,并且会使上下箭头重复最近命令这功能失效。还有一种方法就是在进入主机的时候就备份一下.bash_history,当退出的时候就把备份的文件还原一下。

sed修改登陆信息

替换登录日志

sed -s 's/202.101.172.35/192.168.1.1/g' access_log access.log security

添加ssh限制登录的用户

sed -i 's/AllowUsers fuck root oracle/AllowUsers fuck root oracle rqcuser/g' sshd_config

不过这个添加之后要强制重启sshd服务才可以生效

lsof -i:22 //查找sshd的进程ID

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

sshd 18662 root 11u IPv6 27925867 TCP *:ssh (LISTEN)

sshd 31793 sshd 12u IPv6 34742994 TCP 192.168.1.2:ssh->192.168.1.5:49080 (ESTABLISHED)

然后

kill -SIGHUP 18662

/var/log/wtmp

记录了每个用户登录、注销及系统的启动、停机的事件,也可以用last命令快速查看

/var/run/utmp

记录当前登录的每个用户的信息,它只保留当时联机的用户记录,不会为用户保留永久的记录

/var/log/btmp

记录了所有失败的登录尝试

/var/log/lastlog

记录了系统中所有用户最近一次登陆的信息,如通过ssh登录时提示的此用户最后一次的登录时间,就是从这个文件中取出的

/var/log/auth.log

记录了所有和用户认证相关的日志,包括ssh登录、sudo执行命令等等

使用less auth.log|grep 'root',查看root的ssh登录记录

last -x -F
-F后不加参数,默认是显示/var/log目录下的wtmp文件的记录

lastlog
查看系统中所有用户最近一次登陆的信息

who
查询/var/run/itmp文件来显示系统中当前登录的每个用户

w
查询当前登录系统的用户在该干什么

users
用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示多次

一般需要清理的日志有:lastlog、utmp(utmpx)、wtmp(wtmpx)、messages、syslog、sulog

web日志的清理:access.log 和auth.log 位置在/var/log/

shell记录:.sh_history(ksh),.history(csh),或.bash_history(bash)等

小晓晓晓林
发布了21 篇原创文章 · 获赞 1 · 访问量 5857
私信 关注

猜你喜欢

转载自blog.csdn.net/Z_Z_W_/article/details/104406820
今日推荐
《美国对全球网络空间安全与发展的威胁和破坏》报告发布
火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱?
北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
国产云输入法——仅华为无云端数据上传安全问题
周排行
Python环境安装与基础语法(1)——计算机基础知识
IMU预积分
ADAS中的LDW、FCW、BSD、LCA、ACC、AEB、APA、DMS代表的含义
B站笔试两道题
skyeye arm 硬件虚拟机环境的搭建
Web前端静态页面示例
数组-合并排序数组 II-简单
springcloud之版本问题启动报错
面向对象-------------匿名对象(六)
输入URL到页面呈现中间发生了什么?
每日归档
更多
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022