应急响应小技巧

应急响应小技巧

另类非常规的应急排查小技巧汇总。

vim 历史编辑记录

黑客入侵服务器后,有可能会用vim修改过一些文件。比如清除.bash_history文件中的某条历史命令。

但是vim的操作也是有日志记录的,默认位于~/.viminfo

但该记录往往被很多人给忽视。可以作为应急响应排查的参考项。

查看vim的日志记录。

less ~/.viminfo 

以及文件的编辑时间。

如果绕过?

  1. 使用vi代替vim修改文件
  2. 在vim中使用命令关闭记录
:set history=0 :!command 
Print Friendly, PDF & Email
赞赏

微信赞赏支付宝赞赏

Zgao

愿有一日,安全圈的师傅们都能用上Zgao写的工具。