清理日志要清理哪些

1. 系统日志

这是最核心的部分，记录了系统层面的所有操作

• 登录日志（auth.log 或 secure）：这是最重要的一环，需要清理我们所有登录、su、sudo 等提权操作的记录。这些日志会暴露我们的 IP 地址、用户名和登录时间
• Bash 历史记录（~/.bash_history）：命令行操作记录会直接暴露我们执行过的所有命令，包括文件查找、下载工具、修改配置等。必须彻底清除这个文件，或者在操作前使用 unset HISTFILE 或 history -c 来禁用或清除
• 任务计划日志（cron.log）：如果你使用了定时任务来维持权限或者执行特定操作，别忘了清除相关的 cron 日志
• 内核日志（dmesg）：虽然不常需要，但某些内核级别的操作或异常也会在这里留下痕迹。

2. 应用日志

除了系统日志，很多应用程序也会生成自己的日志文件，同样需要清理

• Web 服务器日志（如 Apache 的 access.log 和 error.log，Nginx 的 access.log 和 error.log）：这些日志会记录所有对网站的访问请求，我们的扫描、利用、上传后门等操作都会被记录下来，比如GET /shell.jsp 这样的请求
• 数据库日志（如 MySQL 的 mysql.log、slow.log）：如果你与数据库进行了交互，日志可能会记录你的连接信息、执行的 SQL 查询等
• FTP 服务器日志：如果你通过 FTP 上传或下载了文件，日志会记录你的连接、用户名和操作
• SSH 服务器日志：与登录日志类似，但更专注于 SSH 连接本身，会记录连接来源和认证尝试

3. 其他关键文件和目录

除了日志文件，还有一些其他地方也可能会留下我们的痕迹

• 临时文件（/tmp、/var/tmp）：在利用漏洞、执行脚本或上传后门时，我们经常会把文件放在临时目录。别忘了清理掉这些文件
• 上传的后门或工具：这是最直观的痕迹，确保你上传的所有文件，无论是 webshell、nc、mimikatz 还是其他工具，都已彻底删除
• 进程信息（/proc）：虽然系统重启后进程信息会消失，但在操作期间，ps 命令可能会暴露我们运行的恶意进程
• 文件元数据：有些高级的痕迹清理会关注文件的创建、修改和访问时间。你可以使用一些工具（如 touch）来修改这些时间戳，使其看起来没有被动过