Linux入侵痕迹怎么清理

共计 2774 个字符，预计需要花费 7 分钟才能阅读完成。

本篇内容主要讲解“Linux 入侵痕迹怎么清理”，感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷，实用性强。下面就让丸趣 TV 小编来带大家学习“Linux 入侵痕迹怎么清理”吧!

01、清除 history 历史命令记录

第一种方式：

(1) 编辑 history 记录文件，删除部分不想被保存的历史命令。

vim ~/.bash_history

(2) 清除当前用户的 history 命令记录

history -c

第二种方式：

(1) 利用 vim 特性删除历史命令

# 使用 vim 打开一个文件  vi test.txt #  设置 vim 不记录命令，Vim 会将命令历史记录，保存在 viminfo 文件中。 :set history=0 #  用 vim 的分屏功能打开命令记录文件.bash_history，编辑文件删除历史操作命令  vsp ~/.bash_history #  清除保存.bash_history 文件即可。

(2) 在 vim 中执行自己不想让别人看到的命令

:set history=0 :!command

第三种方式：

通过修改配置文件 /etc/profile，使系统不再保存命令记录。

HISTSIZE=0

第四种方式：

登录后执行下面命令, 不记录历史命令 (.bash_history)

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export  HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0

02、清除系统日志痕迹

Linux 系统存在多种日志文件，来记录系统运行过程中产生的日志。

/var/log/btmp  记录所有登录失败信息，使用 lastb 命令查看  /var/log/lastlog  记录系统中所有用户最后一次登录时间的日志，使用 lastlog 命令查看  /var/log/wtmp  记录所有用户的登录、注销信息，使用 last 命令查看  /var/log/utmp  记录当前已经登录的用户信息，使用 w,who,users 等命令查看  /var/log/secure  记录与安全相关的日志信息  /var/log/message  记录系统启动后的信息和错误日志 

第一种方式：清空日志文件

清除登录系统失败的记录：

[root@centos]# echo   /var/log/btmp [root@centos]# lastb // 查询不到登录失败信息 

清除登录系统成功的记录：

[root@centos]# echo   /var/log/wtmp [root@centos]# last // 查询不到登录成功的信息 

清除相关日志信息：

 清除用户最后一次登录时间：echo   /var/log/lastlog #lastlog 命令   清除当前登录用户的信息：echo   /var/log/utmp # 使用 w,who,users 等命令   清除安全日志记录：cat /dev/null   /var/log/secure  清除系统日志记录：cat /dev/null   /var/log/message

第二种方式：删除 / 替换部分日志

日志文件全部被清空，太容易被管理员察觉了，如果只是删除或替换部分关键日志信息，那么就可以完美隐藏攻击痕迹。

#  删除所有匹配到字符串的行, 比如以当天日期或者自己的登录 ip sed -i  / 自己的 ip/ d /var/log/messages #  全局替换登录 IP 地址： sed -i  s/192.168.166.85/192.168.1.1/g  secure

03、清除 web 入侵痕迹

第一种方式：直接替换日志 ip 地址

sed -i  s/192.168.166.85/192.168.1.1/g  access.log

第二种方式：清除部分相关日志

#  使用 grep - v 来把我们的相关信息删除, cat /var/log/nginx/access.log | grep -v evil.php   tmp.log #  把修改过的日志覆盖到原日志文件  cat tmp.log   /var/log/nginx/access.log/

04、文件安全删除工具

(1)shred 命令

实现安全的从硬盘上擦除数据，默认覆盖 3 次，通过 - n 指定数据覆盖次数。

[root@centos]# shred -f -u -z -v -n 8 1.txt shred: 1.txt: pass 1/9 (random)... shred: 1.txt: pass 2/9 (ffffff)... shred: 1.txt: pass 3/9 (aaaaaa)... shred: 1.txt: pass 4/9 (random)... shred: 1.txt: pass 5/9 (000000)... shred: 1.txt: pass 6/9 (random)... shred: 1.txt: pass 7/9 (555555)... shred: 1.txt: pass 8/9 (random)... shred: 1.txt: pass 9/9 (000000)... shred: 1.txt: removing shred: 1.txt: renamed to 00000 shred: 00000: renamed to 0000 shred: 0000: renamed to 000 shred: 000: renamed to 00 shred: 00: renamed to 0 shred: 1.txt: removed

(2)dd 命令

可用于安全地清除硬盘或者分区的内容。

dd if=/dev/zero of= 要删除的文件  bs= 大小  count= 写入的次数 

(3)wipe

Wipe 使用特殊的模式来重复地写文件，从磁性介质中安全擦除文件。

wipe filename

(4)Secure-Delete

Secure-Delete 是一组工具集合，提供 srm、smem、sfill、sswap，4 个安全删除文件的命令行工具。

srm filename sfill filename sswap /dev/sda1 smem

05、隐藏远程 SSH 登陆记录

隐身登录系统，不会被 w、who、last 等指令检测到。

ssh -T root@192.168.0.1 /bin/bash -i

不记录 ssh 公钥在本地.ssh 目录中

ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash  ndash;i

到此，相信大家对“Linux 入侵痕迹怎么清理”有了更深的了解，不妨来实际操作一番吧！这里是丸趣 TV 网站，更多相关内容可以进入相关频道进行查询，关注我们，继续学习！