Linux入侵痕迹清理

Linux入侵痕迹清理

 

环境：Centos7、Kali虚拟机等

 

清除登陆系统成功的记录

[[email protected] root]# echo > /var/log/wtmp //此文件默认打开时乱码，可查到ip等信息

[[email protected] root]# last //此时即查不到用户登录信息

清除之前能看到之前其他机器的登录信息

 

清除登陆系统失败的记录

[[email protected] root]# echo > /var/log/btmp //此文件默认打开时乱码，可查到登陆失败信息

[[email protected] root]# lastb //查不到登陆失败信息

 

清除历史执行命令

[[email protected] root]# history -c //清空历史执行命令

修改/etc/profile，把HISTSIZE改为想记录的条数

[[email protected] root]# echo > ./.bash_history //或清空用户目录下的这个文件即可

 

导入空历史记录

[[email protected] root]# vi /root/history //新建记录文件

[[email protected] root]# history -c //清除记录 

[[email protected] root]# history -r /root/history.txt //导入记录 

[[email protected] root]# history //查询导入结果

 

清空命令记录

1）echo "'" > log.txt

2）echo > log.txt ，这种文件里会存在空格

3）cat /dev/null > log.txt

 

不记录历史命令

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG;

export HISTFILE=/dev/null;

export HISTSIZE=0;

export HISTFILESIZE=0

此方法仅在交互的shell中有效，并且会使上下箭头重复最近命令这功能失效。还有一种方法就是在进入主机的时候就备份一下.bash_history，当退出的时候就把备份的文件还原一下。

 

sed修改登陆信息

替换登录日志

sed -s 's/202.101.172.35/192.168.1.1/g' access_log access.log security

添加ssh限制登录的用户

sed -i 's/AllowUsers fuck root oracle/AllowUsers fuck root oracle rqcuser/g' sshd_config

不过这个添加之后要强制重启sshd服务才可以生效

lsof -i:22 //查找sshd的进程ID

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

sshd 18662 root 11u IPv6 27925867 TCP *:ssh (LISTEN)

sshd 31793 sshd 12u IPv6 34742994 TCP 192.168.1.2:ssh->192.168.1.5:49080 (ESTABLISHED)

然后

kill -SIGHUP 18662

 

/var/log/wtmp

记录了每个用户登录、注销及系统的启动、停机的事件，也可以用last命令快速查看

 

/var/run/utmp

记录当前登录的每个用户的信息，它只保留当时联机的用户记录，不会为用户保留永久的记录

 

/var/log/btmp

记录了所有失败的登录尝试

 

/var/log/lastlog

记录了系统中所有用户最近一次登陆的信息，如通过ssh登录时提示的此用户最后一次的登录时间，就是从这个文件中取出的

 

/var/log/auth.log

记录了所有和用户认证相关的日志，包括ssh登录、sudo执行命令等等

使用less auth.log|grep 'root'，查看root的ssh登录记录

 

last -x -F
-F后不加参数，默认是显示/var/log目录下的wtmp文件的记录

 

lastlog
查看系统中所有用户最近一次登陆的信息

 

who
查询/var/run/itmp文件来显示系统中当前登录的每个用户

 

w
查询当前登录系统的用户在该干什么

 

users
用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示多次

 

一般需要清理的日志有：lastlog、utmp(utmpx)、wtmp(wtmpx)、messages、syslog、sulog

web日志的清理：access.log 和auth.log 位置在/var/log/

shell记录：.sh_history(ksh)，.history(csh)，或.bash_history(bash)等