后渗透篇

Windows留后门方法：

一、Windows隐藏帐号后门的建立

二、LPK后门

三、木马后门，即安装远程控制软件（上兴远控、梦想时代）

Linux留后门方法：

一、OpenSSH后门的添加与防范

二、Linux 多个留后门姿式

 

Linux痕迹清理：

一、bash去掉history记录

export HISTSIZE=0
export HISTFILE=/dev/null

附：自定义命令历史格式化

export HISTSIZE=1000000
export HISTTIMEFORMAT="%Y-%m-%d_%H:%M:%S `whoami`  "

二、修改上传文件时间戳

touch -c -t 202510191820 devops.txt  或  touch -c -d "2010-02-07 20:15:12.000000000 +0530" sysadm-29.txt

touch -r sysadm-20.txt devops.txt    (使用参考文件来设置文件或目录的时间戳     格式：# touch -r {参考文件} 真正文件)

更多请点击：Linux 下 9 个有用的 touch 命令示例

三、inux日志清除

Apache日志清除：
sed –i 's/192.168.1.3/192.168.1.4/g' /var/log/apache/ access.log
sed –i 's/192.168.1.3/192.168.1.4/g' /var/log/apache/error_log
其中192.168.1.3是咱们的IP，192.168.1.4使咱们伪造的IP。

MySQL日志文件

sed –i 's/192.168.1.3/192.168.1.4/g'   /var/log/mysql/mysql_slow.log

至于二进制日志文件，须要登陆mysql client来修改删除，建议这种操做最早执行。

php日志修改
sed –i 's/192.168.1.3/192.168.1.4/g'    /var/log/apache/php_error.log
最后就是Linux的日志文件了，这个比较多，记录的也比较复杂，个人环境是CentOS 6.3。我如今只把和渗透有关的文件列出来，主要在/etc/logrotate.d/syslog中

/var/log/maillog，该日志文件记录了每个发送到系统或从系统发出的电子邮件的活动，它能够用来查看用户使用哪一个系统发送工具或把数据发送到哪一个系统

var/log/messages，该文件的格式是每一行包含日期、主机名、程序名，后面是包含PID或内核标识的方括号，一个冒号和一个空格

/var/log/wtmp，该日志文件永久记录每一个用户登陆、注销及系统的启动，停机的事件。该日志文件能够用来查看用户的登陆记录，last命令就经过访问这个文件得到这些信息，并以反序从后向前显示用户的登陆记录，last也能根据用户，终端tty或时间显示相应的记录

/var/run/utmp，该日志文件记录有关当前登陆的每一个用户的信息，所以这个文件会随着用户登陆和注销系统而不断变化，它只保留当时联机的用户记录，不会为用户保留永久的记录。系统中须要查询当前用户状态的程序，如who、w、users、finger等就须要访问这个文件

/var/log/xferlog，该日志文件记录FTP会话，能够显示出用户向FTP服务器或从服务器拷贝了什么文件。该文件会显示用户拷贝到服务器上的用来入侵服务器的恶意程序，以及该用户拷贝了哪些文件供他使用。

bash_history，这是bash终端的命令记录，可以记录1000条最近执行过的命令（具体多少条能够配置），经过这个文件能够分析此前执行的命令来知道知否有入侵者，每个用户的home目录里都有这么一个文件

 

Windows痕迹清理：

直接查看时间管理器