type
status
date
slug
summary
tags
category
icon
password
本文将会分享 6 个 linux 痕迹隐藏技巧
- 隐藏远程 SSH 登陆记录
- 清除当前的 history 记录
- 隐藏 Vim 的操作记录
- 隐藏文件修改时间
- 锁定文件
- 清除系统日志痕迹
1. 隐藏远程 SSH 登陆记录
隐身登录系统,不会被 w、last 等指令检测到。
- T 表示不分配伪终端,/usr/bin/bash 表示在登录后调用 bash 命令 -i 表示是交互式 shell
原理
w/last
命令日志/var/log/wtmp
是 utmp 和 wtmp 的日志接口产生的,而这俩接口是正常登陆分配伪终端(tty)之后才调用的,ssh -T root@192.0.0.1 /usr/bin/bash
表示登陆后调用 bash 命令。不是一个完整的会话 类似执行一个临时命令, 系统不会分配伪终端伪终端 (pseudo terminal 有时也被称为 pty) 应用场景:
排查
登录后先用
echo $PPID
获取自己的 PID,netstat\lsof 都可以排查到2. 清除当前的 history 记录
如果我们不希望命令被记录,在退出会话前直接执行:
原理
history -r
将历史命令文件中的命令 (/.bash_history
) 读入当前历史命令缓冲区.history -r
把历史文件 (/.bash_history
)附加到内存数据中了3. 隐藏 Vim 的操作记录
当我们使用 vim 时候, 会在
~/.viminfo
留下操作记录,建议使用 vi 。或者在 vim 中使用命令关闭记录4. 隐藏文件修改时间
一般管理员会查看一个文件的修改时间,我们可以把我们的后门文件时间修改成几天之前创建的效果。使用如下命令。
但是稍微有经验的管理员使用
stat
或者 find ./ -ctime 0 -name "*.php"
就会发现这里的问题stat 中的三个属性意思是
比如 最近访问 (access time)。我们用 cat 访问下,发现 最近访问 变了
那么如果再绕过 stat 的检测呢?修改系统时间后再
touch -r A B
就可以了。最后记得把系统时间改回来啊5. 锁定文件
有时候你发现用 root 权限都不能修改某个文件,大部分原因是曾经用 chattr 命令锁定该文件了。此权限用 ls -l 是查看不出来的,从而达到隐藏权限的目的。chattr 命令不能保护 /、/dev、/tmp、/var 目录。lsattr 命令是显示 chattr 命令设置的文件属性。
让某个文件只能往里面追加数据,但不能删除,适用于各种日志文件
6. 清除系统日志痕迹
Linux 系统存在多种日志文件,来记录系统运行过程中产生的日志
清除系统日志痕迹
清除 web 日志入侵痕迹
文件安全删除工具
- Author:SniperZ
- URL:https://SniperZ.com/article/8655a448-fc03-41d3-acd9-85708cd16481
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!