Я прекрасно понимаю, насколько захватывающим может быть исполнение функций злоумышленника в роли пентестера. Погоня за учетными записями администраторов домена и переход от системы к системе в стремлении расширить доступ к сети увлекают и затягивают. Иногда бывает трудно остановиться и сделать надлежащие записи в заметках о проникновении, особенно когда вы только что получили доступ к системе, содержащей учетные данные, которые, в свою очередь, позволяют получить доступ к другой системе, и впереди маячат ключи от королевства. Качественная работа пентестера предусматривает уборку следов взлома.
Потенциальные следы пентеста для удаления можно разделить на следующие:
- удаление активных соединений оболочки: sessions -K для Metepreter;
- удаление ненужных учетных записей пользователей: в файле /etc/passwd;
- удаление различных файлов: копии кустов реестра, ключей SSH, ntds.dit;
- отмена изменений конфигурации: отключение процедуры xp_cmdshell в MSSQL;
- отключение анонимных общих файловых ресурсов;
- удаление записей в crontab;
- закрытие бэкдоров.
И вот Вы все это удалили или исправили. И вот тут то следует не забывать что ваши движения остаются в истории команд, поэтому следует в конце за собой почистить и ее.
В Linux файл bash_history обычно находится в домашнем каталоге пользователя /home/username/.bash_history:
$ cat /home/alex/.bash_history
Чтобы удалить одну строку из файла истории, используйте параметр -d. Например, если вы хотите очистить команду, в которой вы ввели открытый текстовый пароль, найдите номер строки в файле истории и выполните эту команду:
$ history -d 130
Чтобы удалить или очистить все записи из истории bash, используйте команду history ниже с опцией -c:
$ history -c
В качестве альтернативы, вы можете использовать команду приведенную ниже, чтобы удалить историю всех последних выполненных команд в файле навсегда:
$ cat /dev/null > ~/.bash_history
