隱藏登錄

ssh?-T?root@xxx.xxx.xxx.xxx?/bin/bash?-i?

命令拆解
-T ：告訴ssh客戶端，不要分配一個(gè)TTY（偽終端）
root ：連接用戶xxx.xxx.xxx.xxx ：連接的服務(wù)器ip地址
/bin/bash ：在遠(yuǎn)程服務(wù)器上啟動(dòng)一個(gè)交互式的Bash shell。
效果如下，默認(rèn)登錄一個(gè)終端的時(shí)候，會(huì)有一個(gè)pts/0，但是這里已經(jīng)成功隱藏了登錄

清楚當(dāng)前的history記錄

清楚當(dāng)前會(huì)話的命令歷史記錄
history?-r

history -r將歷史命令文件中的命令(/.bash_history) 讀入當(dāng)前歷史命令緩沖區(qū).
history -r 把歷史文件(/.bash_history）附加到內(nèi)存數(shù)據(jù)中了

或者?不給當(dāng)前的shell留時(shí)間去處理，內(nèi)存的命令也沒時(shí)間寫入到文件
kill?-9?$$

隱藏Vim操作記錄

使用 vim時(shí)候,會(huì)在 ~/.viminfo留下操作記錄，建議使用 vi ?；蛘咴趘im中使用命令關(guān)閉記錄。
:set?history=0?:!command?

隱藏文件修改時(shí)間

touch?-r?A?B?，將?B?文件的日期改為?A?文件的日期
touch?-r?appsetting.json?hehe.txt

雖然如此，但還是能用stat命令看到修改時(shí)間。

stat中的三個(gè)屬性意思是

• 最近訪問(access?time)：表示我們最后一次訪問（僅僅是訪問，沒有改動(dòng)）文件的時(shí)間
• 最近更改(modify?time)：表示我們最后一次修改文件的時(shí)間
• 最近改動(dòng)(change?time)：表示我們最后一次對(duì)文件屬性改變的時(shí)間，包括權(quán)限，大小，屬性等等

使用find命令，查找24小時(shí)內(nèi)被修改過的文件
find?./?-ctime?0?-name?'hehe.txt'

鎖定文件

root權(quán)限都不能修改某個(gè)文件，大部分原因是曾經(jīng)用chattr命令鎖定該文件了。此權(quán)限用ls -l是查看不出來的，從而達(dá)到隱藏權(quán)限的目的。chattr命令不能保護(hù)/、/dev、/tmp、/var目錄。lsattr命令是顯示chattr命令設(shè)置的文件屬性。

	chattr?+i?shell.php??#鎖定文件
	rm?-rf?shell.php?????#提示禁止刪除
	lsattr??shell.php????#屬性查看
	chattr?-i?shell.php??#解除鎖定
	rm?-rf?shell.php?????#刪除文件

讓某個(gè)文件只能往里面追加數(shù)據(jù)，但不能刪除，適用于各種日志文件
chattr?+a?/var/log/messages

清除系統(tǒng)日志痕跡

	/var/log/btmp???記錄所有登錄失敗信息，使用lastb命令查看
	/var/log/lastlog?記錄所有用戶最后一次登錄時(shí)間的日志，使用lastlog命令查看
	/var/log/wtmp????記錄所有用戶的登錄、注銷信息，使用last命令查看
	/var/log/utmp????記錄當(dāng)前已經(jīng)登錄的用戶信息，使用w,who,users等命令查看
	/var/log/secure???記錄與安全相關(guān)的日志信息
	/var/log/message??記錄系統(tǒng)啟動(dòng)后的信息和錯(cuò)誤日志
	直接覆蓋日志文件
	echo?>?/var/log/btmp?
	cat?/dev/null?>??/var/log/secure
	刪除所有匹配到字符串的行,比如以當(dāng)天日期或者自己的登錄ip
	sed??-i?'/自己的ip/'d??/var/log/messages
	全局替換登錄IP地址：
	sed?-i?'s/192.168.6.85/192.168.1.1/g'?secure

清除web日志入侵痕跡

	直接替換日志ip地址
	sed?-i?'s/192.168.166.85/192.168.1.1/g'?access.log
	清除部分相關(guān)日志
	cat?/var/log/nginx/access.log?|?grep?-v?evil.php?>?tmp.log
	把修改過的日志覆蓋到原日志文件
	cat?tmp.log?>?/var/log/nginx/access.log/

文件安全刪除工具

	#?shred?命令?安全的從硬盤上擦除數(shù)據(jù)，默認(rèn)覆蓋3次，通過?-n指定數(shù)據(jù)覆蓋次數(shù)
	shred?-f?-u?-z?-v?-n?8?hrhe.txt?
	#?wipe?使用特殊的模式來重復(fù)地寫文件，從磁性介質(zhì)中安全擦除文件
	wipe?filename

迷茫的人生，需要不斷努力，才能看清遠(yuǎn)方模糊的志向！