linux 内网渗透后的痕迹清理

最新推荐文章于 2025-05-11 08:27:10 发布
最新推荐文章于 2025-05-11 08:27:10 发布
阅读量402 收藏 10
点赞数 5
文章标签: linux chrome 运维 痕迹 渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/w2361734601/article/details/146055024
版权

(⚠️本文仅用于授权渗透测试与防御研究,禁止非法用途)

0x00为什么要清理痕迹?

渗透后残留的日志、历史记录、文件时间戳等可能暴露攻击路径,导致溯源或防御反制。专业清理可降低风险,但需注意:完全隐身几乎不可能,对抗高级流量监控仍需更复杂手段。

0x01 隐藏SSH登录记录

SSH登录信息通常记录在以下日志中:

  • /var/log/auth.log

  • /var/log/secure(部分系统)

  • /var/log/wtmp(二进制登录记录)

last可以擦黄看最近的登陆记录

隐藏技巧

  1. 禁用伪终端分配

    ssh -T root@目标IP /bin/bash -i

    -T参数禁止分配伪终端,/bin/bash -i启动交互式Shell,减少日志生成(但部分系统仍可能记录)。

  2. 手动清理日志

    # 删除含特定IP的日志行  
sed -i '/你的IP/d' /var/log/auth.log  
# 清空wtmp(需root权限)  
echo > /var/log/wtmp
0x02 清除命令历史记录

Bash/Zsh历史文件(~/.bash_history~/.zsh_history)会记录所有执行命令。

清除方法

  1. 实时禁用记录

    unset HISTFILE    # 当前会话不记录历史  
export HISTCONTROL=ignorespace  # 命令前加空格不记录

  2. 彻底删除历史

    history -c && history -w   # 清空内存并覆盖文件  
rm ~/.bash_history ~/.zsh_history

  3. 覆盖其他用户历史(需root):

    find /home -name ".*_history" -exec rm -f {} \;
0x03 修改文件时间戳

管理员常通过文件修改时间(mtime)追踪异常文件。

伪装技巧

touch -r 参照文件.txt 目标文件.php   # 将目标文件时间设为参照文件时间  
touch -t 202401010000 目标文件.php   # 自定义时间戳(格式:年月日时分)
0x04 清理系统日志

核心日志路径

  • Web服务:/var/log/apache2/*/var/log/nginx/*

  • 系统日志:/var/log/syslog/var/log/messages

清理方法

  1. 直接清空文件

    echo > /var/log/apache2/access.log

  2. 选择性删除日志行: 

    sed -i '/攻击者IP/d' /var/log/syslog    # 删除含特定IP的行

⚠️ 注意

  • 清空日志可能触发告警(如auditd监控文件变更)。

  • 优先备份原始日志:cp /var/log/auth.log /tmp/auth.log.bak

0x05 进阶对抗与防御检测

  1. 防恢复删除

    shred -zu 文件名    # 覆盖后彻底删除(避免恢复)

  2. 伪造正常日志
    向日志文件插入正常条目(需严格匹配日志格式)。

  3. 防御建议

    • 部署文件完整性检查工具(如AIDE)。

    • 启用实时日志监控(如ELK+Wazuh)。

Linux 入侵痕迹清理技巧
09-10 4万+
在攻击结束后,如何不留痕迹清除日志和操作记录,以掩盖入侵踪迹,这其实是一个细致的技术活。你所做的每一个操作,都要被抹掉;你所上传的工具,都应该被安全地删掉。 01、清除history历史命令记录 查看历史操作命令: 查看历史操作命令:history history记录文件:more ~/.bash_history 第一种方式: (1)编辑history记录文件,删除部分不想被保...
内网渗透-Windows&Linux痕迹清除
lza20001103的博客
09-26 6460
Windows&Linux痕迹清除 文章目录Windows&Linux痕迹清除前言Windows痕迹清除Windows日志清理meterpreter清理日志Linux痕迹清除后记 前言 当我们进行内网一系列的渗透之后,就会留下一些命令痕迹,我们离开的时候,为了防止管理员发现,我们就需要进行内网渗透最后一个环节的内容了,就是进行痕迹清除命令有点多,大家好好做一下笔记吧。 Windows痕迹清除 Windows日志 如何查看: 事件查看器->windows日志 win+r eventv
Linux痕迹清理
qq_63217130的博客
01-23 1774
当用户使用history命令时,系统会读取.bash_history文件,并将其中的命令按照编号的顺序显示出来。攻击者在获取一台主机权限后,往往回执行一些查询命令,例如whoami、ifconfig,有需求的话可能还会进行一些提权命令的操作等等,这些命令都会留存到Linux的history(历史命令记录)中,所以历史命令清除痕迹清理很重要的手段。2.输入以下两条命令中任意一条将.bash_history大小设置为0,相当于清空所有历史命令,包括了当前会话缓存的命令记录,以及之前会话的命令记录。
内网渗透 持久化以及日志清理 技术手法方案
最新发布
浩策盾悟
05-11 4851
隐蔽持久化:目标在于在目标系统中部署一个后门,并通过系统自带的服务管理(Linux:Systemd + Cron;Windows:WMI 事件订阅、计划任务或注册表 Run 键)确保系统重启或后门被终止时能够自动恢复控制。恢复机制:所有方法均设计为自动检测服务/进程状态,并在发现中断时重新启动后门 payload,从而保证长期控制。伪装与隐蔽:命令、文件名、任务名称、服务名称均伪装成合法或系统组件,降低被安全工具或管理员发现的风险。灵活性。
linux清空痕迹,Linux日志痕迹清除
weixin_35645230的博客
05-14 248
#coding=utf-8importosimportsysimportsubprocessdefClear_The_Log(host):logs= ["/var/log/messages","/var/log/messages.1","/etc/syslog.conf","/var/log/secure","/var/log/message","/var/log/lastlog","/var/l...
Linux痕迹清除技术
Captain_RB的博客
01-17 7194
系统入侵后要对操作痕迹进行清除,如果上传工具和木马文件要做隐藏和伪装,以免引起警觉甚至丢失目标,“清道夫”的工作虽有些烦杂,但这些工作直接影响到目标控守的持久性。
内网渗透Linux痕迹清理
balalawb的博客
11-06 371
Linux痕迹清理
Linux内网渗透.doc
07-08
本文将从拿到一个 Linux shell 开始,介绍 Linux 内网渗透技术,分为容器逃逸、Linux 提权、Linux 信息收集、Linux 隧道技术、Linux 横向移动、Linux 权限维持、Linux 痕迹清理几个部分。 一、容器逃逸 容器逃逸是...
内网渗透结束,痕迹清理必备手段
Appleteachers的博客
04-14 900
痕迹清理 在我们做完一系列的内网渗透操作后,必然会留下一些蛛丝马迹,因此我们需要给自己”擦屁股“。本篇只介绍如何清除系统日志、修改文件时间戳。 痕迹清理 Powershell 修改文件时间戳 有时候我们在登陆目标桌面后,根据需求可能会动用目标主机上的文件或者文件夹,而一些管理员很久都不会登陆一次主机;设想当管理员一上线看到自己的文件夹日期有异常,是否会怀疑? Function edit_time(KaTeX parse error: Expected '}', got 'EOF' at end of inp
真的敢耗时1个月10万字解决Linux内网渗透
aa119101的博客
05-25 3451
Linux虽然没有域环境,但是当我们拿到一台Linux 系统权限,难道只进行一下提权,捕获一下敏感信息就结束了吗?显然不只是这样的。本片文章将从拿到一个Linux shell开始,介绍Linux内网渗透技术,分为容器逃逸、Linux提权、Linux信息收集、Linux隧道技术、Linux横向移动、Linux权限维持、Linux痕迹清理几个部分。 容器逃逸 容器逃逸的应用主要是,拿到shell之后,发现是docker环境,要进一步渗透,就必须逃逸到宿主机。 容器逃逸方法见: https://www.cn
EW内网渗透
05-06
- **清理与报告**:清除入侵痕迹,撰写渗透测试报告,提供改进建议。 5. **合规性**:虽然内网渗透测试有助于提升安全,但必须遵循法律法规和道德规范。未经许可的渗透测试可能构成违法行为,因此在实际操作中应...
Python安全小工具之Linux日志痕迹清除
Mi1k7ea
11-04 2038
主要过程为定义一个log列表,含有Linux中常见的log文件,然后使用os库的path.exists()方法查看是否存在该文件,若存在则使用subprocess库调用sed命令来删除日志中与指定host相关的行以实现痕迹清除。 先来看看Linux中sed命令的使用: 其中‘/127.0.0.1/d’中,d是指定进行删除操作,删除的内容为含有“127.0.0.1”的行,而sed命令
Linux 清除SSH登录记录、历史命令日志缓存
2403_82545517的博客
02-20 4786
是重要日志文件,记录了几乎所有系统错误及重要的相关信息。如果系统出了问题,该文件是经常要检查的项目之一。清除 SSH 登录日志使用下面命令。已排除上面提到的日志文件。
linux服务器通过SSH清除log日志的方法
闲云野鹤专栏
10-31 2558
最近一客户的Dz论坛老出现数据库连接错误 错误提示: Discuz! info: Can not connect to MySQL server Time: 2011-2-28 9:50am Script: /index.php Error: Can’t connect to local MySQL server through socket ‘/tmp/mysql.so
清空本地ssh记录数据,ssh: connect to host Ip port 22: Connection refused
weixin_30568591的博客
02-04 380
ssh-keygen -R 要连接的IP地址 转载于:https://www.cnblogs.com/guangxiaoluo/p/4272427.html
痕迹清理
bylfsj的博客
11-01 1156
5.4. 痕迹清理¶ 5.4.1. Windows¶ 操作日志:3389登录列表、文件访问日志、浏览器日志、系统事件 登录日志:系统安全日志 5.4.2. Linux清除历史 unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; kill -9 $$ kill ...
普通用户如何彻底清除Linux系统下登陆和命令使用痕迹,需要注意哪些地方
weixin_42849849的博客
03-18 900
普通用户可以通过上述方法清除部分痕迹,但无法彻底清除所有系统日志。如需更彻底的清理,通常需要root权限。
渗透测试后,清理痕迹的详细步骤
Liu_Bruce的博客
12-14 1101
清理痕迹渗透测试和攻击后至关重要的一步,它能够帮助攻击者避免被发现并减少被追踪的风险。然而,必须强调的是,这种行为在未经授权的情况下是违法的,以上信息仅供学习和研究之用。在实际操作中,应严格遵守法律法规及道德标准,只对获得授权的系统进行渗透测试。
渗透测试后,如何在 Windows 和 Linux 系统中清除痕迹
m0_57836225的博客
03-03 1290
Windows 系统的日志是系统安全的重要组成部分,它详细记录了系统运行过程中的各种事件。日志主要存储在两个位置:本地文件和注册表。其中,本地文件存储路径为 Windows 安装目录下的WinNt\Log目录。通过右键点击 “此电脑” 选择 “管理”,进而打开 “事件查看器”,或者在 “运行” 中输入 “eventvwr.msc”,都能方便地查看 Windows 日志
掌握sensitivefilescan-master:内网渗透的关键工具
7. 清除痕迹:在完成渗透测试后,重要的是清除日志、权限更改等痕迹,尽量保证目标系统在测试前后保持一致。 8. 报告与合规:整理渗透测试结果,并撰写详细报告,确保测试过程遵守法律法规和职业道德。 9. 编程和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值