後滲透篇

Windows留後門方法：

一、Windows隱藏帳號後門的建立

二、LPK後門

三、木馬後門，即安裝遠程控制軟件（上興遠控、夢想時代）

Linux留後門方法：

一、OpenSSH後門的添加與防範

二、Linux 多個留後門姿式

 

Linux痕跡清理：

一、bash去掉history記錄

export HISTSIZE=0
export HISTFILE=/dev/null

附：自定義命令歷史格式化

export HISTSIZE=1000000
export HISTTIMEFORMAT="%Y-%m-%d_%H:%M:%S `whoami`  "

二、修改上傳文件時間戳

touch -c -t 202510191820 devops.txt  或  touch -c -d "2010-02-07 20:15:12.000000000 +0530" sysadm-29.txt

touch -r sysadm-20.txt devops.txt    (使用參考文件來設置文件或目錄的時間戳     格式：# touch -r {參考文件} 真正文件)

更多請點擊：Linux 下 9 個有用的 touch 命令示例

三、inux日誌清除

Apache日誌清除：
sed –i 's/192.168.1.3/192.168.1.4/g' /var/log/apache/ access.log
sed –i 's/192.168.1.3/192.168.1.4/g' /var/log/apache/error_log
其中192.168.1.3是咱們的IP，192.168.1.4使咱們僞造的IP。

MySQL日誌文件

sed –i 's/192.168.1.3/192.168.1.4/g'   /var/log/mysql/mysql_slow.log

至於二進制日誌文件，須要登陸mysql client來修改刪除，建議這種操做最早執行。

php日誌修改
sed –i 's/192.168.1.3/192.168.1.4/g'    /var/log/apache/php_error.log
最後就是Linux的日誌文件了，這個比較多，記錄的也比較複雜，個人環境是CentOS 6.3。我如今只把和滲透有關的文件列出來，主要在/etc/logrotate.d/syslog中

/var/log/maillog，該日誌文件記錄了每個發送到系統或從系統發出的電子郵件的活動，它能夠用來查看用戶使用哪一個系統發送工具或把數據發送到哪一個系統

var/log/messages，該文件的格式是每一行包含日期、主機名、程序名，後面是包含PID或內核標識的方括號，一個冒號和一個空格

/var/log/wtmp，該日誌文件永久記錄每一個用戶登陸、註銷及系統的啓動，停機的事件。該日誌文件能夠用來查看用戶的登陸記錄，last命令就經過訪問這個文件得到這些信息，並以反序從後向前顯示用戶的登陸記錄，last也能根據用戶，終端tty或時間顯示相應的記錄

/var/run/utmp，該日誌文件記錄有關當前登陸的每一個用戶的信息，所以這個文件會隨着用戶登陸和註銷系統而不斷變化，它只保留當時聯機的用戶記錄，不會爲用戶保留永久的記錄。系統中須要查詢當前用戶狀態的程序，如who、w、users、finger等就須要訪問這個文件

/var/log/xferlog，該日誌文件記錄FTP會話，能夠顯示出用戶向FTP服務器或從服務器拷貝了什麼文件。該文件會顯示用戶拷貝到服務器上的用來入侵服務器的惡意程序，以及該用戶拷貝了哪些文件供他使用。

bash_history，這是bash終端的命令記錄，可以記錄1000條最近執行過的命令（具體多少條能夠配置），經過這個文件能夠分析此前執行的命令來知道知否有入侵者，每個用戶的home目錄裏都有這麼一個文件

 

Windows痕跡清理：

直接查看時間管理器