后渗透痕迹清理记录

简介

渗透测试结束后，为了减少被发现和追溯的概率，有必要清除自己的攻击痕迹，这里注意记录一下自己收集记录的一些技巧,注意是清理掉访问日志等各种记录，愿用的上。

Windows日志清理

开始 程序--> 管理工具--> 计算机管理--> 系统工具--> 事件查看器--> 清除日志

windows + r

eventvwr.msc(事件查看器) --> 清除日志记录

wevtutil 命令

wevtutil el                     #列出系统中所有日志

wevtutil cl system         #清理系统日志

wevtutil cl application   #清理应用程序日志

wevtutil cl security        #清理安全日志

meterpreter后渗透清理模块

clearev（meterpreter自带的清除日志命令）  #清除应用程序日志、系统日志、安全日志

清除recent

删除 C:\Users\Administrator\Recent下的所有内容

del /f /s /q "%userprofile\Recent*.*"

Linux 日志清理

history -c

history -cw

history -r

rm .bash_history

echo "" .bash_history

#vim清理命令记录

:set history=0

:!command

#清理当天日志

sed -i '/当天的日期/'d 文件名

#修改日志记录

sed -i 's/172.0.4.5/127.0.0.1/g'  文件名       #将所有172.0.4.5的ip替换为127.0.0.1

/var/log目录下存放这linux主机的各种日志记录

一定一定不能直接删除，否则麻烦可能就大了，可以写个小脚本将日志文件清空

#!/usr/bin/sh

echo > /var/log/syslog

echo > /var/log/messages

echo > /var/log/httpd/access_log

echo > /var/log/secure

echo > /var/log/wtmp

echo > /var/log/btmp

echo > /var/log/utmp

echo > /var/log/lastlog

echo > /var/log/auth.log

echo > /var/log/user.log

rm .bash_history

history -cw

---

结语

人是会变的，人在懂事后也应该做出改变，没有改变就不会有进步，改变不了想法的人什么也改变不了。