删库之后的精髓就在于,把.bash_history里的记录清理干净
实验一:删除.bash_history
1
2
3
4
5
6[root@tencent1 ~]# rm -rf .bash_history
[root@tencent1 ~]# cat .bash_history
#1548157074
rm -rf .bash_history
可以看到删除.bash_history的记录还是会存进去实验二:重写.bash_history
1
2
3
4
5
6
7[root@tencent1 ~]# echo ''>.bash_history
[root@tencent1 ~]# cat .bash_history
#1548157381
echo ''>.bash_history
仍然不好使实验三:终极手段
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35[root@tencent1 ~]# mkdir data
[root@tencent1 ~]# rm -rf data
[root@tencent1 ~]# cat .bash_history
#1548157655
echo ''>.bash_history
#1548157662
mkdir data
#1548157664
rm -rf data
我们先模拟一下删库,可以看到.bash_history里已经有记录了
编辑一个shell
[root@tencent1 ~]# cat mytest.sh
sed -i 's/rm -rf data/ls/' .bash_history
执行shell
[root@tencent1 ~]# sh mytest.sh
[root@tencent1 ~]# cat .bash_history
#1548157655
echo ''>.bash_history
#1548157662
mkdir data
#1548157664
ls
#1548157671
cat .bash_history
#1548157721
cat mytest.sh
#1548157765
sh mytest.sh
可以看到我们的删库指令已经神不知鬼不觉的被替换掉了
后记:这种情况仅限没有经过堡垒机跳转登录服务器的情况,咂摸一下,要是公司有堡垒机赶紧想办法补救和认错,实在不行,收拾东西赶紧跑