完整的網站滲透測試，結束前如何確保痕迹的清理？

07-12

初學滲透、發現教程和書籍上都講的都是如何滲透，而對於滲透時的痕迹清理基本都沒說、求大體說一下

完全清除痕迹比較困難，我們假設你可以清除登入之後的各種操作的日誌，那麼登出的操作會不會留下日誌？怎麼清除？這是困難的。可以清除，或者tamper日誌，簡單的做一下，應該是可以對付大多數公安部門的偵查。如果有興趣，你也可以留下一兩個程序去擦掉各種痕迹。其中，一些有效的清除痕迹的程序最後還會把自己刪掉。

修改日誌有時是有效的，因為審核日誌記錄可能不會高度細。有時一些帳號沒有創建日誌就被刪除，有些帳號沒有登入就退出，這些很可疑，但是可能被忽略。

有一些內網的firewall, network-based IDS還會記錄日誌，這些很難以清除。

關鍵是使留下的痕迹不足以偵查你的物理地點。

可以使用跳板。行業內可能用肉雞等等的很多，也有的用IP哄騙（如果可以做到），你也可以入侵學校的動態分配IP的機器等等，這樣很難往回查是哪個用戶使用那個IP，而且也很容易去除痕迹。你也可以考慮使用一些公共的wifi，例如不需要複雜登記的店。

首先要明確一下：

滲透測試的目的是模擬黑客攻擊來發現系統的漏洞和脆弱之處。

而這裡提到的完成測試後清理痕迹已經有點像是入侵的範疇了。

so...

歡迎訪問我們：

滲透測試

知道創宇雲安全

我覺得沒法徹底清除，清除也只是清除一部分。還是要以偽裝自己為主，比如VPN+虛擬機+...+...

清除痕迹就要從會在哪裡留下痕迹，最容易想到的就是清楚記錄文件或者資料庫的相應記錄，可是你的數據包是會經過人家路由交換的網路設備啊，在網關上面設置個埠鏡像把所有數據包放到存儲裡面存一段時間或者直接接個協議分析儀，痕迹根本清不掉啊。

所以指望清除乾淨痕迹是不靠譜的，只能盡量讓痕迹的線索斷掉，或者隱蔽身份。

我是個小白，用手機順手寫了這個沒有幫助的答案，想想還是發出來吧，有什麼寫錯了的地方歡迎大家指出哈

1、隱蔽。盜用別人wifi是不二選擇。但是注意mac地址的修改，windows和linux的mac地址修改方式不同所以要有所區別。

2、你的所有文件最好單獨放在加密的虛擬機裡面，然後通過虛擬機操作關鍵動作。

3、VPN是不二選擇，你要有目的的入侵一些監管不嚴格的境外網站。

4、各種節點的密碼一定要獨立，如果安全人員回溯發現你的密碼基本一致，你就別搞跳板了，想入侵別人自己的事情都搞不定

5、作為安全人員，要明白沒有絕對隱藏，保持適當關注，永遠比事後發現日誌忽然為0重要。

首先，你得有足夠最高許可權。

然後，你得考慮uac的問題

再次，你得知道日誌放在哪裡

位置隱藏最後粉碎硬碟

像樓上說的，路由和交換機都有記錄的啊有木有。省級市級網關上你以為你跑的脫？人家都說了能識別你的流量特徵如goagent？打錯沒？我每次打不對這個。比較好的是搞個vpn然後進tor，但是沒法識別蜜罐節點，延遲高。就感覺特別不安全。隨便網上買個電腦，改個mac，帶個帽子，走路裝成內八字，佝僂點跑到星巴克去然後像上述，這是有人說的但是不知道用處有沒有，這樣追蹤起來比較麻煩吧我想。

以前研究過類似的內容，說點自己的看法，歡迎補充

以下以入侵×nix系統為例

擦除痕迹的主要目的還是防止反向跟蹤，反跟蹤技術上一般都是通過肉雞（已經被攻佔並且沒有被機主發現的主機）進行入侵。一個肉雞如果覺得不穩妥就用多個肉雞，比如先ssh到韓國的一台肉雞，再ssh到美國，再ssh到台灣。等等等。。如此一來被反跟蹤的可能性就會很小。

擦除痕迹只能用在已經被入侵的主機上，如果沒有入侵成功，則無法擦除。這個道理想必都應該明白。

做法無非就是查看伺服器做了哪些服務的log，逐一刪除，還不能全部刪除，會被看出來，只刪和入侵有關的log。但這遠遠不夠。因為複雜的入侵會有很多特徵

除了入侵者上傳到主機上的後門文件外，仍然可能產生異常的特徵還有很多，比如對於窮舉密碼會有過多的密碼錯誤log。內存溢出（主要用於提升許可權）可能會有內存dump文件。以用戶運行命令會留下.bash.history記錄。sql注入會有w3c log。等等。

還有，不管在任何時候都不要上傳能被殺毒軟體識別出來的文件。這無疑就是告訴人家，我進來了

完全的清理幾乎是不可能的你只能做到清理你可控的數據日誌

我只想問，既然是滲透測試，就是在授權的情況下進行的測試，需要清除痕迹么？不要把入侵和測試搞混了

方法一:在節假日人，簡單的化妝後，找家黑網吧（不用身份證的那種），進行滲透。

方法二:買一台二手電筒腦，用vpn加肉雞，進行滲透，然後將電腦在舊貨市場賣掉。

1.買一台水貨電腦（走私電腦，通過MAC地址追查麻煩），或者改變自己本身電腦MAC，以及其他能改變的序列號，再然後裝個虛擬機

2.然後到一些小區樓下破解附近的wifi然後VPN、肉雞走起，注意周圍有沒有監控。因為JC可以通過IP追查到物理位置，然後通過治安探頭找到你……

3.幹完活後把電腦找地方銷毀吧^

另外不要用它登錄你的QQ等軟體或者網站，它們會出賣你的真實信息……

用國外PaaS雲服務的機子做查得到有鬼了當然別用自己的信息註冊用戶就行

清除意義不大，要保護自己就要用vpn和加密卷系統，tor之類.