应急响应小技巧
另类非常规的应急排查小技巧汇总。
vim 历史编辑记录
黑客入侵服务器后,有可能会用vim修改过一些文件。比如清除.bash_history文件中的某条历史命令。
但是vim的操作也是有日志记录的,默认位于~/.viminfo
但该记录往往被很多人给忽视。可以作为应急响应排查的参考项。

查看vim的日志记录。
less ~/.viminfo

以及文件的编辑时间。


如果绕过?
- 使用vi代替vim修改文件
- 在vim中使用命令关闭记录
:set history=0 :!command
微信赞赏
支付宝赞赏
发表评论