防溯源
清除webshell
随机化关键文件时间信息
psl执行,随机选取当前目录文件的中一个日期设定覆盖
Function edit_time($path){$date1 =Get-ChildItem | Select LastWriteTime|Get-Random;$date2 =Get-ChildItem | Select LastWriteTime|Get-Random;$date3 =Get-ChildItem | Select LastWriteTime|Get-Random;$(Get-Item $path).lastaccesstime=$date1.LastWriteTime; $(Get-Item $path).creationtime=$date2.LastWriteTime ; $(Get-Item $path).lastwritetime=$date3.LastWriteTime};edit_time("文件绝对路径")
随机化前
随机化后
应用日志处理
apache日志
宝塔日志
- 可删可修改
修改可以将自身相关ip随机替换等等,看你操作 - 处理日志后,重启apache,宝塔服务
服务重启后,日志文件会持续写入覆盖,使恢复可能性降低
防恢复处理
多次擦除覆盖
以1.txt为例
删除后,新建1.txt,写入随机内容,再删除->新建同名文件->写入->删除,循环操作
系统事件日志处理
日志路径C:WindowsSystem32winevtLogs
事件查看器-win日志-属性可看
处理手法同防恢复处理,多次擦除覆盖
系统日志处理应再退出远程后,通过连接shell执行,如反弹shell
或通过计划任务执行
做到无文件落地执行