登录宝塔面板反被溯源IP?教你擦除痕迹!

Posted 安道实验室

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了登录宝塔面板反被溯源IP?教你擦除痕迹!相关的知识,希望对你有一定的参考价值。

前言

书接上文。还没有看过的小伙伴可以关注公众号,翻翻历史文章:有了webshell之后应该怎么拿下宝塔?

我们对宝塔进行渗透的过程会产生很多入侵痕迹,比如:

  • 正常访问目标站点的日志;
  • 没找到正确的面板入口地址,产生的面板访问日志;
  • 登录失败的日志,会记录显示操作时间和登录账户、来源IP;
  • 成功登录的日志,会记录显示操作时间和登录账户、来源IP;
  • 其他操作日志,如在面板上传和下载文件、清空面板操作日志(没错,清空操作本身也会产生日志…);
  • 其他日志,如修改防火墙、升级软件、修改数据库等等。

这些痕迹都是要在我们完成测试之后要清除的,否则一不小心就被溯源了。尤其是新增的账户的登入登出日志,陌生账号的登录记录很容易引起管理员注意!

清除宝塔面板操作日志

基本思路

成功和失败的登录,宝塔都会有记录

基本思路是下载/www/server/panel/data/default.db这个数据库文件,修改后再次上传覆盖源文件

cp /tmp/default.db /www/server/panel/data/

到这里又有一个问题,实测发现如果直接修改数据库,删除某条记录,上传覆盖后会导致面板新的日志序号不连续,管理员可明显看出数据异样

如下图,45号日志的下一条日志序号为47,而不是46,原因是登出前会有登入,原本记录46就是一条成功登入的日志

我们观察DDL可知id是自增关键字,因此即便我们删除了原来的46号记录,但由于此时logs表的id值为46,下一条记录的序号自然是47,导致不连续

解决序号不连续问题

我找到的方法是,导出原logs表数据后,删除原表,再次生成表、导入原数据,使id值为45

(1)在修改完logs表后,先把修改后的数据导出

(2)记住logs表的结构,删除原logs表,新建一个和原表结构一样的logs表。

drop table if exists "logs";
CREATE TABLE logs (
    id       INTEGER PRIMARY KEY AUTOINCREMENT,
    type     TEXT,
    log      TEXT,
    addtime  TEXT,
    uid      INTEGER DEFAULT '1',
    username TEXT    DEFAULT 'system'
);

(3)然后把刚才导出的数据导入

注意编码使用UTF-8

此时id值为45

(4)再次覆盖上传后,发现新产生的日志序号已经连续

此时浏览器再次打开面板地址,登录状态还在,同时面板记录不会有隐藏账户的登录日志

如何正确退出面板

注意此时不能点击左边的“退出”,否则会再次生成一条登出记录

直接关闭页面,等待登录状态失效即可

清除服务器日志(Linux)

一般管理员在面板看不出异样,就不会去查看日志

但如果想完全擦除自己的痕迹,避免被溯源,就要清除访问日志和登录失败日志,主要是access.log和error.log

日志目录如下:

删除含个人IP的行,其他关键词和文件也可参考

sed -i -e '/[YOUR_IP]/d' /www/wwwlogs/access.log

最后清除命令行记录即可。

# 将目前 shell 中的所有 history 命令消除。对命令历史文件没有影响
history -c
# 完全清空.bash_history文件,并不是很建议使用
echo > ~/.bash_history

往期推荐文章

【点击头像翻看历史文章】有了webshell之后应该怎么拿下宝塔?


本文仅用于学习和交流,由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用者本人负责,文章作者不为此承担任何责任。

文章首发于公众号:安道实验室,随缘更新但篇篇干货。新号求关注、点赞、收藏和转发!!!

解决登录宝塔面板时出现:请使用正确的登录面板提示

今天登录宝塔面板的时候,出现了如下的情况:

请使用正确的入口登录面板
错误原因:当前宝塔新安装的已经开启了安全入口登录,新装机器都会随机一个8位字符的安全入口名称,亦可以在面板设置处修改,如您没记录或不记得了,可以使用以下方式解决
1.查看面板入口:/etc/init.d/bt default
注意:【关闭安全入口】将使您的面板登录地址被直接暴露在互联网上,非常危险,请谨慎操作

解决方法:在SSH终端输入以下一种命令来解决

1.查看面板入口:/etc/init.d/bt default
2.关闭安全入口:rm -f /www/server/panel/data/admin_path.pl

这里使用的xshell远程登录软件,连接上远程服务器后,输入/etc/init.d/bt default,然后就会出现登录宝塔面板的url,username和password。就可以顺利登录了!!!



以上是关于登录宝塔面板反被溯源IP?教你擦除痕迹!的主要内容,如果未能解决你的问题,请参考以下文章

手把手教你用腾讯云服务器安装宝塔面板一键部署WordPress网站

宝塔面板安装完成后必须要做的几件事

linux中使用计划任务进行数据库定期备份

宝塔面板设置伪静态规则

Linux安装宝塔,并实现公网远程登录宝塔面板内网穿透

创建阿里云服务器和宝塔