Effacer les traces de logs avec Clearev

L'une des commandes les plus utiles de Meterpreter pour l'effacement des traces est la commande `clearev`.

C'est une commande qui va effacer tous les journaux d'événements (logs) système.

Pour vous donner une idée de ce que sont ces journaux sous Windows, vous pouvez ouvrir l'Observateur d'événements (Event Viewer).

Windows y enregistre tous les événements survenant sur le système, répartis principalement en trois catégories : les événements d'application (Application), de sécurité (Security) et système (System).

Lorsque vous pénétrez un serveur Windows, vos actions génèrent inévitablement de nombreuses entrées dans ces journaux.

À la fin de votre audit, il est nécessaire de nettoyer ces traces.

La commande `clearev` permet de vider ces journaux en une seule action.

Chaque enregistrement fournit normalement des détails précis sur l'action qui s'est déroulée à un moment donné.

En exécutant la commande `clearev` dans votre console Meterpreter, l'outil va nettoyer automatiquement les journaux Application, Security et System.

L'exécution ne prend que quelques secondes.

Par exemple, vous verrez un message du type : « Wiping 501 records from Application, 1536 from System, 400 from Security ».

Après cette action, l'Observateur d'événements de la machine cible sera vidé.

L'utilisation de `clearev` automatise le nettoyage des journaux système.

Cependant, vous devez également procéder aux nettoyages manuels : supprimer les fichiers et outils que vous avez téléversés (uploadés), fermer les ports réseau temporaires ouverts, et effacer les e-mails ou autres données créés sur la machine.

Si vous avez configuré une persistance via le Planificateur de tâches de Windows, vous devez ouvrir la console de planification, rechercher votre tâche (par exemple, à l'image d'une tâche de mise à jour comme « ASUS Update Checker »), faire un clic droit et sélectionner « Delete » (Supprimer) pour la retirer définitivement.

Si votre cible est sous Linux, vous devez nettoyer les tâches planifiées dans la table cron.

Pour cela, ouvrez un terminal, tapez `crontab -e` (ce qui ouvrira le fichier de configuration avec un éditeur comme `nano`), et supprimez simplement la ligne correspondant à votre script de persistance avant d'enregistrer le fichier.

Toutes ces étapes sont indispensables pour garantir un effacement propre de vos traces à la fin de votre test d'intrusion.

L'importance d'effacer les traces dans un test d'intrusionComment rédiger un bon rapport de pentest