我想要达到的结果
渗透测试过程中,清理日志需要清理哪些内容?
系统日志清理
记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃及数据
默认位置:C:\Windows\System32\winevt\Logs\System.evtx
应用程序日志清理
包含应用程序或系统程序记录的事件,主要记录程序运行方面的事件
默认位置:C:\Windows\System32\winevt\Logs\Application.evtx
安全日志清理
记录系统安全审计事件,包含各种类型登录日志、对象访问日志、进程追踪、特权使用、账号管理、策略变更和系统事件
默认位置:C:\Windows\System32\winevt\Logs\Security.evtx
清理Linux痕迹
Linux 大多数日志文件就是文本,常见痕迹清理位置:/var/log,该目录下的常见日志文件有:
清理日志
清除登录系统信息:echo > /var/log/wtmp
清除命令历史记录:echo > /root/.bash_history
清除用户最后一次登录时间:echo > /var/log/lastlog
清除当前登录用户的信息:echo > /var/log/utmp
清除安全日志记录:cat /dev/null > /var/log/secure
清除系统日志记录:cat /dev/null > /var/log/messages
清除Web日志
web日志会记录用户对web页面的访问操作
web日志会记录访问时间、访问IP地址、访问资源,以及是否访问成功等信息
清除Apache日志痕迹
搜索日志:find / -name “access.log”
删除:sed -i '/<产生日志的IP>/'d /var/log/apache2/access.log
替换:sed -i 's/<产生日志的IP>/127.0.0.1/' /var/log/apache2/access.log