在攻击结束后，如何不留痕迹的清除日志和操作记录，以掩盖入侵踪迹，这其实是一个细致的技术活。你所做的每一个操作，都要被抹掉；你所上传的工具，都应该被安全地删掉。

---

01、清除history历史命令记录

第一种方式：

（1）编辑history记录文件，删除部分不想被保存的历史命令。

1. 
   
2. vim ~/.bash_history

复制代码

（2）清除当前用户的history命令记录

1. 
   
2. history -c

复制代码

第二种方式：

（1）利用vim特性删除历史命令

1. 
   
2. #使用vim打开一个文件
   
3. vi test.txt
   
4. 
   
5. # 设置vim不记录命令，Vim会将命令历史记录，保存在viminfo文件中。
   
6. :set history=0
   
7. # 用vim的分屏功能打开命令记录文件.bash_history，编辑文件删除历史操作命令
   
8. vsp ~/.bash_history
   
9. # 清除保存.bash_history文件即可。

复制代码

（2）在vim中执行自己不想让别人看到的命令

1. 
   
2. :set history=0
   
3. :!command

复制代码

第三种方式：

通过修改配置文件/etc/profile，使系统不再保存命令记录。

1. 
   
2. HISTSIZE=0

复制代码

第四种方式：

登录后执行下面命令,不记录历史命令(.bash_history)

1. 
   
2. unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0

复制代码

02、清除系统日志痕迹

Linux 系统存在多种日志文件，来记录系统运行过程中产生的日志。

1. 
   
2. /var/log/btmp   记录所有登录失败信息，使用lastb命令查看
   
3. /var/log/lastlog 记录系统中所有用户最后一次登录时间的日志，使用lastlog命令查看
   
4. /var/log/wtmp    记录所有用户的登录、注销信息，使用last命令查看
   
5. /var/log/utmp    记录当前已经登录的用户信息，使用w,who,users等命令查看
   
6. /var/log/secure   记录与安全相关的日志信息
   
7. /var/log/message  记录系统启动后的信息和错误日志

复制代码

第一种方式：清空日志文件

清除登录系统失败的记录：

1. 
   
2. [root@centos]# echo > /var/log/btmp
   
3. [root@centos]# lastb             //查询不到登录失败信息

复制代码

清除登录系统成功的记录：

1. 
   
2. [root@centos]# echo > /var/log/wtmp  
   
3. [root@centos]# last              //查询不到登录成功的信息

复制代码

清除相关日志信息：

1. 
   
2. 清除用户最后一次登录时间：echo > /var/log/lastlog          #lastlog命令
   
3. 清除当前登录用户的信息：echo >   /var/log/utmp             #使用w,who,users等命令
   
4. 清除安全日志记录：cat /dev/null >  /var/log/secure
   
5. 清除系统日志记录：cat /dev/null >  /var/log/message

复制代码

第二种方式：删除/替换部分日志

日志文件全部被清空，太容易被管理员察觉了，如果只是删除或替换部分关键日志信息，那么就可以完美隐藏攻击痕迹。

1. 
   
2. # 删除所有匹配到字符串的行,比如以当天日期或者自己的登录ip
   
3. sed  -i '/自己的ip/'d  /var/log/messages
   
4. 
   
5. # 全局替换登录IP地址：
   
6. sed -i 's/192.168.166.85/192.168.1.1/g' secure

复制代码

03、清除web入侵痕迹

第一种方式：直接替换日志ip地址

1. 
   
2. sed -i 's/192.168.166.85/192.168.1.1/g' access.log

复制代码

第二种方式：清除部分相关日志

1. 
   
2. # 使用grep -v来把我们的相关信息删除,
   
3. cat /var/log/nginx/access.log | grep -v evil.php > tmp.log
   
4. 
   
5. # 把修改过的日志覆盖到原日志文件
   
6. cat tmp.log > /var/log/nginx/access.log/

复制代码

04、文件安全删除工具

（1）shred命令

实现安全的从硬盘上擦除数据，默认覆盖3次，通过 -n指定数据覆盖次数。

1. 
   
2. [root@centos]# shred -f -u -z -v -n 8 1.txt
   
3. shred: 1.txt: pass 1/9 (random)...
   
4. shred: 1.txt: pass 2/9 (ffffff)...
   
5. shred: 1.txt: pass 3/9 (aaaaaa)...
   
6. shred: 1.txt: pass 4/9 (random)...
   
7. shred: 1.txt: pass 5/9 (000000)...
   
8. shred: 1.txt: pass 6/9 (random)...
   
9. shred: 1.txt: pass 7/9 (555555)...
   
10. shred: 1.txt: pass 8/9 (random)...
    
11. shred: 1.txt: pass 9/9 (000000)...
    
12. shred: 1.txt: removing
    
13. shred: 1.txt: renamed to 00000
    
14. shred: 00000: renamed to 0000
    
15. shred: 0000: renamed to 000
    
16. shred: 000: renamed to 00
    
17. shred: 00: renamed to 0
    
18. shred: 1.txt: removed

复制代码

（2）dd命令

可用于安全地清除硬盘或者分区的内容。

1. 
   
2. dd if=/dev/zero of=要删除的文件 bs=大小 count=写入的次数

复制代码

（3）wipe

Wipe 使用特殊的模式来重复地写文件，从磁性介质中安全擦除文件。

1. 
   
2. wipe filename

复制代码

（4）Secure-Delete

Secure-Delete 是一组工具集合，提供srm、smem、sfill、sswap，4个安全删除文件的命令行工具。

1. 
   
2. srm filename
   
3. sfill filename
   
4. sswap /dev/sda1
   
5. smem

复制代码

05、隐藏远程SSH登陆记录

隐身登录系统，不会被w、who、last等指令检测到。

1. 
   
2. ssh -T root@192.168.0.1 /bin/bash -i

复制代码

不记录ssh公钥在本地.ssh目录中

1. 
   
2. ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i

复制代码