文章目錄

• win
• • 修改文件時間戳
• linux
• • 修改文件時間戳
  • 清除history歷史命令記錄
  • 清除系統日志痕跡
  • 隱藏遠程SSH登陸記錄
  • 清除web入侵痕跡
  • Linux刪除登錄日志和操作信息

win

修改文件時間戳

有時我們登陸到服務器，對它的?件進行了修改，修改后的?件的時間戳會更新到最新的 時間，那么這樣就會引起管理員的注意。 因此我們需要吧那個?件的時間戳給修改成其他時間！

Powershell修改時間命令

$(DATE) 表示當前日期和時間； $(Get-Date) 同$(DATE)，表示當前日期和時間； $(Get-Date "MM/DD/YYYY HH24:MI:SS") 表示指定的日期和時間； $(Get-Item abc.txt) 表示獲取文件的句柄； $(Get-Item abc.txt).creationtime 獲取文件創建時間 $(Get-Item abc.txt).lastaccesstime 獲取文件最后訪問時間 $(Get-Item abc.txt).lastwritetime 獲取文件修改時間# 設置文件test.txt的時間為當前時間 $(Get-Item abc.txt).creationtime=$(DATE) $(Get-Item abc.txt).lastaccesstime=$(DATE) $(Get-Item abc.txt).lastwritetime=$(DATE)# 設置文件abc.txt的時間為指定的某個時間 $(Get-Item abc.txt).creationtime=$(Get-Date "11/04/2019 20:42:23") $(Get-Item abc.txt).lastaccesstime=$(Get-Date "11/04/2019 20:42:23") $(Get-Item abc.txt).lastwritetime=$(Get-Date "11/04/2019 20:42:23")

修改文件時間戳

$data="10/1/2008 12:30:30";$file="C:\test.txt";$(Get-Item $file).creationtime=$(Get-Date $data);$(Get-Item $file).lastaccesstime=$(Get-Date $data);$(Get-Item $file).lastwritetime=$(Get-Date $data)

linux

修改文件時間戳

ls -l test.txt # 修改文件的修改時間和訪問時間 touch -d "2018-04-18 08:00:00" test.txt

清除history歷史命令記錄

bash執行命令時不是馬上把命令名稱寫入history文件的，而是存放在內部的buffer中，等bash退出時會一并寫入。不過，可以調用history -w命令要求bash立即更新history文件。

查看歷史操作命令：

history # 查看歷史操作命令 cat ~/.bash_history # history記錄文件

第一種方式：

• 編輯history記錄文件，刪除部分不想被保存的歷史命令。

vim ~/.bash_history

• 清除當前用戶的history命令記錄

history -c

第二種方式：

• 利用vim執行命令

#使用vim打開一個文件 vi test.txt # 設置vim不記錄命令，Vim會將命令歷史記錄，保存在viminfo文件中。 :set history=0 :!command

第三種方式：

• 通過修改配置文件/etc/profile，使系統不再保存命令記錄。默認情況下歷史命令將保存1000條，可以將該值改為0，然后保存并退出，最后重啟系統使得配置文件生效。

HISTSIZE=0

第四種方式：

• 登錄后執行下面命令,不記錄歷史命令(.bash_history)

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0

清除系統日志痕跡

Linux 系統存在多種日志文件，來記錄系統運行過程中產生的日志。

/var/log/btmp 記錄所有登錄失敗信息，使用lastb命令查看 /var/log/lastlog 記錄系統中所有用戶最后一次登錄時間的日志，使用lastlog命令查看 /var/log/wtmp 記錄所有用戶的登錄、注銷信息，使用last命令查看 /var/log/utmp 記錄當前已經登錄的用戶信息，使用w,who,users等命令查看 /var/log/secure 記錄與安全相關的日志信息 /var/log/message 記錄系統啟動后的信息和錯誤日志

第一種方式：清空日志文件

• 清除登錄系統失敗的記錄：

echo > /var/log/btmp lastb //查詢不到登錄失敗信息

• 清除登錄系統成功的記錄：

echo > /var/log/wtmp last //查詢不到登錄成功的信息

• 清除相關日志信息：

清除用戶最后一次登錄時間：echo > /var/log/lastlog #lastlog命令 清除當前登錄用戶的信息：echo > /var/log/utmp #使用w,who,users等命令 清除安全日志記錄：cat /dev/null > /var/log/secure 清除系統日志記錄：cat /dev/null > /var/log/message

第二種方式：刪除/替換部分日志

• 日志文件全部被清空，太容易被管理員察覺了，如果只是刪除或替換部分關鍵日志信息，那么就可以完美隱藏攻擊痕跡。

# 刪除所有匹配到字符串的行,比如以當天日期或者自己的登錄ip sed -i '/自己的ip/'d test.txt sed -i '/192.168.1.2/'d test.txt # 全局替換登錄IP地址： sed 's/要被取代的字串/新的字串/g' sed -i 's/192.168.1.1/192.168.1.2/g' test.txt

隱藏遠程SSH登陸記錄

隱身登錄系統，不會被w、who、last等指令檢測到。

ssh -T root@192.168.0.1 /bin/bash -i

不記錄ssh公鑰在本地.ssh目錄中

ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i

清除web入侵痕跡

直接替換日志ip地址

sed -i 's/192.168.166.85/192.168.1.1/g' apache/logs/access.log

常見日志地址

# apache apache/logs/access.log # 訪問日志 apache/logs/error.log # 錯誤日志 # nginx nginx/logs/access.log # 訪問日志 nginx/logs/error.log # 錯誤日志 # tomcat tomcat/logs/localhost_access_log.日期.txt # 請求日志 tomcat/logs/catalina.日期.log # 啟動日志 tomcat/logs/localhost.日期.txt # 本地日志 tomcat/logs/host-manager.日期.log # manager管理日志 tomcat/logs/manager.日志.log # manager專有日志

Linux刪除登錄日志和操作信息

echo > /var/log/wtmp //清除用戶登錄記錄 echo > /var/log/btmp //清除嘗試登錄記錄 echo>/var/log/lastlog //清除最近登錄信息 echo > /var/log/secure //登錄信息 echo > /var/log/messages echo>/var/log/syslog //記錄系統日志的服務 echo>/var/log/xferlog echo>/var/log/auth.log echo>/var/log/user.log cat /dev/null > /var/adm/sylog cat /dev/null > /var/log/maillog cat /dev/null > /var/log/openwebmail.log cat /dev/null > /var/log/mail.info echo>/var/run/utmp

總結

以上是生活随笔為你收集整理的后渗透-痕迹清理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。