linux/windows痕迹清除

windows痕迹清理

暴力删除

图形界面删除

运行->eventvwr->右边栏选择清除日志

命令行删除

删除下列位置文件
C:\Users\用户名\AppData\Local\Microsoft\Windows\History 用户最近访问过的文件和网页记录
C:\Users\用户名\AppData\Local\Microsoft\Windows\Burn 用户最近使用的项目
C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Recent 临时刻录文件夹
C:\Users\用户名\Documents 我的文档
C:\Documents and Settings\Administrator\Recent 最近访问过的文件
C:\Documents and Settings\Administrator\NetHood 访问过的网上邻居共享等
C:\Documents and Settings\Administrator\Documents 我的文档
C:\Documents and Settings\Administrator\Desktop 桌面
C:\Program Files 安装路径
%systemroot%\system32\config DNS日志默认位置
%systemroot%\system32\config\SecEvent.EVT 安全日志文件
%systemroot%\system32\config\sysEvent.EVT 系统日志文件
%systemroot%\system32\config\appEvent.EVT 应用程序日志文件
%systemroot%\system32\logfiles\msftpsvcl FTP日志默认位置
%systemroot%\system32\logfiles\w3svcl WWW日志默认位置

msf清除windows日志

run event_manager -i #查看日志信息
run event_manager -c system #清除指定日志
run event_manager -c#删除所有日志

cs插件清除windows日志

EventLogMaster

会话右键 ->EventLogMaster->clean->选择需要删除的日志

linux痕迹清理

终端设置不记录历史命令

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG
export HISTFILE=/dev/null
export HISTSIZE=0
export HISTFILESIZE=0

删除全部命令历史及日志

暴力删除1

rm -rf /var/log/* ~/.bash_history
history -c

暴力删除2

echo >/var/log/btmp # 清除登录失败日志
echo >/var/log/lastlog # 清除最后一次登录时间日志
echo >/var/log/wtmp # 清除用户登录日志 对应last
echo >/var/log/utmp # 清除已经登录用户
cat /dev/null >/var/log/message  # 清除错误日志
cat /dev/null >/var/log/secure # 清除安全日志
rm -f ~/.bash_history
history -c

命令历史及日志部分擦除

logtamper

下载地址

https://github.com/AV1080p/logtamper

使用

python logtamper.py -m 1 -u 用户名 -i IP #躲避管理员w查看
python logtamper.py -m 2 -u 用户名 -i IP #清除指定ip的登录日志
python logtamper.py -m 3 -u 用户名 -i IP -t tty1 -d 2014:05:28:10:11:12 #修改上次登录时间地点

web痕迹清理

Apache 日志痕迹清除

寻找日志

find / -name *access*.log

暴力修改

rm -rf access.log

修改日志

sed -i '/10.211.55.2'd access.log #删除IP的命令
sed -i 's/10.211.55.2/127.0.0.1/' access.log #替换IP的命令

IIS日志清除

CleanIISLog.exe c:\inetpub\logs\LogFiles\w3SVC1\u_ex200211.log 192.188.1.105