防溯源

清除webshell

随机化关键文件时间信息

psl执行，随机选取当前目录文件的中一个日期设定覆盖

Function edit_time($path){$date1 =Get-ChildItem | Select LastWriteTime|Get-Random;$date2 =Get-ChildItem | Select LastWriteTime|Get-Random;$date3 =Get-ChildItem | Select LastWriteTime|Get-Random;$(Get-Item $path).lastaccesstime=$date1.LastWriteTime; $(Get-Item $path).creationtime=$date2.LastWriteTime ; $(Get-Item $path).lastwritetime=$date3.LastWriteTime};edit_time("文件绝对路径")

随机化前

随机化后

应用日志处理

apache日志
宝塔日志

1. 可删可修改
   修改可以将自身相关ip随机替换等等，看你操作
2. 处理日志后，重启apache，宝塔服务
   服务重启后，日志文件会持续写入覆盖，使恢复可能性降低

防恢复处理

多次擦除覆盖
以1.txt为例
删除后，新建1.txt，写入随机内容，再删除->新建同名文件->写入->删除，循环操作

系统事件日志处理

日志路径C:\Windows\System32\winevt\Logs
事件查看器-win日志-属性可看

处理手法同防恢复处理，多次擦除覆盖
系统日志处理应再退出远程后，通过连接shell执行，如反弹shell
或通过计划任务执行
做到无文件落地执行

防溯源-基础

原文：https://www.cnblogs.com/Rain99-/p/12449361.html