靶机渗透（零）清除痕迹

清除痕迹

 

1.查看日志文件（/var/log）

2./var/log/auth.log（身份认证日志）

3./var/log/btmp（错误登录日志）

4./var/log/utmp（当前登录的用户信息）

5./var/log/wtmp（永久记录用户登录、注销及系统的启动、停机的事件）

6./var/log/faillog（登录失败日志）

7./var/log/lastlog（最后一次登录时间日志）

8./root/.bash_history（历史操作文件）

---

1.查看日志文件（/var/log）

2./var/log/auth.log（身份认证日志）

cat /var/log/auth.log
echo > /var/log/auth.log

• auth.log包含系统授权信息（用户登录和使用的权限机制）等

• 可以使用“echo > 日志路径”，来清空日志文件内容

3./var/log/btmp（错误登录日志）

sudo last -f /var/log/btmp

• 该日志是一个二进制文件，不能直接通过文本编辑器打开

4./var/log/utmp（当前登录的用户信息）

• 该日志是一个二进制文件，不能直接通过文本编辑器打开
• 该文件会随用户登录和注销系统而不断变化，只保留当时联机的用户记录，不会为用户保留永久记录
• 系统中需要查询当前用户状态的程序，如who、w、users等，就需要访问这个文件
• who命令，显示系统当前登录的每个用户，默认输出用户名、终端类型、登录类型及远程主机
• w命令，查询当前登录系统的用户在进行什么操作（w命令先通过查询utmp文件，获取当前登录的用户，再显示每个用户和它所运行的进程信息）
• users命令，单独一行打印出当前登录的用户，每个显示的用户名对应一个登录会话，如果一个用户有不止依次登录会话，那其用户名会显示多次（如，一用户通过三个终端登录了主机，则会显示三次）

5./var/log/wtmp（永久记录用户登录、注销及系统的启动、停机的事件）

• 该日志是一个二进制文件，不能直接通过文本编辑器打开
• 随系统正常运行时间的增加，该文件的大小也会越来越大，增加的速度取决于系统用户登录的次数
• last命令，显示用户最近登录的信息（登录历史）

6./var/log/faillog（登录失败日志）

7./var/log/lastlog（最后一次登录时间日志）

• 该日志是一个二进制文件，不能直接通过文本编辑器打开
• 在每次用户登录时被查询，记录最近成功登录的事件和最后一次不成功的登录事件，由login生成（只能以root权限执行）
• lastlog命令可显示系统中所有用户最近一次的登录时间，根据UID排序显示登录名、端口号和上次登录时间
• 如果某用户从来没有登录过，就显示为"**Never logged in**"
• 系统账户诸如bin、daemon、adm、uucp、mail等不应该登录，如果发现这些账户已经登录，就说明系统可能已经被入侵了
• 若发现记录的时间不是用户上次登录的时间，则说明该用户的账户已经泄密
• 查询某个用户的最后登录信息，可使用-u选项

8./root/.bash_history（历史操作文件）

cat /root/.bash_history
echo > /root/.bash_history
history -c

• .bash_history文件保存了用户最近输入命令的记录

不完全，有待补充ing。。。