GET 6個Linux痕跡隱藏小技巧

2022-06-23 10:51:18 字數 3765 閱讀 4508

隱藏遠端ssh登陸記錄

清除當前的history記錄

隱藏vim的操作記錄

隱藏檔案修改時間

鎖定檔案

清除系統日誌痕跡

隱身登入系統,不會被w、last等指令檢測到。

ssh -t [email protected] /bin/bash -i
-t表示不分配偽終端,/usr/bin/bash 表示在登入後呼叫bash命令 -i 表示是互動式shell

w/last命令日誌/var/log/wtmp是utmp和wtmp的日誌介面產生的,而這倆介面是正常登陸分配偽終端(tty)之後才呼叫的,ssh -t [email protected] /usr/bin/bash表示登陸後呼叫bash命令。不是乙個完整的會話 類似執行乙個臨時命令,系統不會分配偽終端

​ 偽終端(pseudo terminal有時也被稱為pty)應用場景:

1. 在圖形介面下開啟的命令列終端

2. 基於ssh協議或telnet協議等遠端開啟的命令列介面

​ 登入後先用echo $ppid獲取自己的pid,netstat\lsof 都可以排查到

​ 如果我們不希望命令被記錄,在退出會話前直接執行:

# 清除當前會話的命令歷史記錄

history -r

# 或者 不給當前的shell留時間去處理,記憶體的命令也就沒時間寫入到檔案

kill -9 $$

history -r將歷史命令檔案中的命令(/.bash_history) 讀入當前歷史命令緩衝區.

history -r把歷史檔案(/.bash_history)附加到記憶體資料中了

​ 當我們使用 vim時候,會在~/.viminfo留下操作記錄,建議使用 vi 。 或者在vim中使用命令關閉記錄。

:set history=0 :!command
​ 一般管理員會檢視乙個檔案的修改時間,我們可以把我們的後門檔案時間修改成幾天之前建立的效果。使用如下命令。

# touch -r a b 使b檔案時間變得和a檔案相同

但是稍微有經驗的管理員使用stat或者find ./ -ctime 0 -name "*.php"就會發現這裡的問題

# 查詢24小時內被建立的php檔案

find ./ -ctime 0 -name "*.php"

stat中的三個屬性意思是

最近訪問(access time):表示我們最後一次訪問(僅僅是訪問,沒有改動)檔案的時間

最近更改(modify time):表示我們最後一次修改檔案的時間

最近改動(change time):表示我們最後一次對檔案屬性改變的時間,包括許可權,大小,屬性等等

比如 最近訪問(access time)。 我們用cat訪問下,發現 最近訪問 變了

那麼如果再繞過 stat的檢測呢? 修改系統時間後再touch -r a b就可以了。最後記得把系統時間改回來啊

​ 有時候你發現用root許可權都不能修改某個檔案,大部分原因是曾經用chattr命令鎖定該檔案了。此許可權用ls -l是檢視不出來的,從而達到隱藏許可權的目的。chattr命令不能保護/、/dev、/tmp、/var目錄。lsattr命令是顯示chattr命令設定的檔案屬性。

chattr +i shell.php  #鎖定檔案

rm -rf shell.php #提示禁止刪除

lsattr shell.php #屬性檢視

chattr -i shell.php #解除鎖定

rm -rf shell.php #刪除檔案

讓某個檔案只能往裡面追加資料,但不能刪除,適用於各種日誌檔案

# chattr +a /var/log/messages
linux 系統存在多種日誌檔案,來記錄系統執行過程中產生的日誌

清除系統日誌痕跡

/var/log/btmp   記錄所有登入失敗資訊,使用lastb命令檢視

/var/log/lastlog 記錄所有使用者最後一次登入時間的日誌,使用lastlog命令檢視

/var/log/wtmp 記錄所有使用者的登入、登出資訊,使用last命令檢視

/var/log/utmp 記錄當前已經登入的使用者資訊,使用w,who,users等命令檢視

/var/log/secure 記錄與安全相關的日誌資訊

/var/log/message 記錄系統啟動後的資訊和錯誤日誌

# 直接覆蓋日誌檔案

echo > /var/log/btmp

cat /dev/null > /var/log/secure

# 刪除所有匹配到字串的行,比如以當天日期或者自己的登入ip

sed -i '/自己的ip/'d /var/log/messages

sed -i 's/192.168.166.85/192.168.1.1/g' secure

清除web日誌入侵痕跡

# 直接替換日誌ip位址

sed -i 's/192.168.166.85/192.168.1.1/g' access.log

# 清除部分相關日誌

cat /var/log/nginx/access.log | grep -v evil.php > tmp.log

# 把修改過的日誌覆蓋到原日誌檔案

cat tmp.log > /var/log/nginx/access.log/

檔案安全刪除工具

# shred 命令 安全的從硬碟上擦除資料,預設覆蓋3次,通過 -n指定資料覆蓋次數

[root@centos]# shred -f -u -z -v -n 8 1.txt

# wipe 使用特殊的模式來重複地寫檔案,從磁性介質中安全擦除檔案

Linux 痕跡清理 隱藏程序

1.偷換系統二進位制檔案 ps top 等 防範 比對hash 系統完整性檢查工具,比如tripwrie aide等 2.修改hook呼叫函式 修改命令返回結果,原函式getdents 防範 sysdig 開源 檢測ld preload環境變數是否有異常,ld.so.preload檔案異常 時間,大...

隱藏Windows10我的電腦中的6個資料夾

win r,輸入regedit,然後一次點選hkey local machine software microsoft windows currentversion explorer folderdescriptions 找到相對應得登錄檔項,點選propertybag,把thispcpolicy的...

php執行linux命令的6個函式

一般情況下,很少會用php去執行linux命令,不過特殊情況下,你也許會用到這些函式。以前我知道有二個函式可以執行linux命令,乙個是exec,乙個是shell exec。其實有很多的,結合手冊內容,介紹以下6個函式。1,exec函式 test ls tmp test ls是linux下的查目錄,...