欢迎来到天天文库
浏览记录
ID:23778103
大小:54.00 KB
页数:5页
时间:2018-11-10
《黑客在入侵后完美清理日志的总结》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、黑客在入侵后完美清理日志的总结~教育资源库 一:开始-程序-管理工具-计算机管理-系统工具-事件查看器,然后清除日志。 二:ACHINEsystemCurrentControlSetServicesEventlog 有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中 HKEY_LOCAL_MACHINESOFTicrosoftSchedulingAgent FTP和日志详解: FTP日志和日志默认情况,每天生成一个日志文件,包
2、含了该日的一切记录,文件名通常为ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日产生的日志,用记事本就可直接打开,如下例: #SoftationServices5.0(微软IIS5.0) #Version:1.0(版本1.0) #Date:200010230315(服务启动时间日期) #Fields:timecipcsmethodcsuristemscstatus 0315127.0.0.1[1]USERadministator331 (IP地址为127.0.0.1用户名为administa
3、tor试图登录) 0318127.0.0.1[1]PASS–530 (登录失败) 032:04127.0.0.1[1]USERnt331 (IP地址为127.0.0.1用户名为nt的用户试图登录) 032:06127.0.0.1[1]PASS–530 (登录失败) 032:09127.0.0.1[1]USERcyz331 (IP地址为127.0.0.1用户名为cyz的用户试图登录) 0322127.0.0.1[1]PASS–530 (登录失败) 0322127.0.0.1[1]USE
4、Radministrator331 (IP地址为127.0.0.1用户名为administrator试图登录) 0324127.0.0.1[1]PASS–230 (登录成功) 0321127.0.0.1[1]MKDnt550 (新建目录失败) 0325127.0.0.1[1]QUIT–550 (退出FTP程序) 从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知管理员的入侵时间、IP地址以及探测的用户名,如上例入侵者最终是用admin
5、istrator用户名进入的,那么就要考虑更换此用户名的密码,或者重命名administrator用户。 日志: 服务同FTP服务一样,产生的日志也是在%systemroot%system32LogFilesozilla/4.0+(patible;+MSIE+5.0;+Windoinistator用户名登录,出现一个错误,是FTP服务。 这12下一页友情提醒:,特别!里有两种图标:钥匙(表示成功)和锁(表示当用户在做什么时被系统停止)。接连四个锁图标,表示四次失败审核,事件类型是帐户登录和登录、注销失败,日期为2000年10
6、月18日,时间为1002,这就需要重点观察。 双点第一个失败审核事件的,即得到此事件的详细描述。 经过分析我们可以得知有个CYZ的工作站,用administator用户名登录本机,但是因为用户名未知或密码错误(实际为密码错误)未能成功。另外还有DNS服务器日志,不太重要,就此略过(其实是我没有看过它)。 知道了SFTPSVC1>delex*.log D:SERVERsystem32LogFilesMSFTPSVC1> 以上操作成功删除FTP日志!再来日志! D:SERVERsystem32LogFiles3
7、2LogFiles32LogFilesW3SVC1>stopeventlog 这项服务无法接受请求的暂停或停止操作。没办法,它是关键服务。如果不用第三方工具,在命令行上根本没有删除安全日志和系统日志的可能!所以还是得用虽然简单但是速度慢得死机的办法:打开控制面板的管理工具中的事件查看器(98没有,知道用Win2k的好处了吧),在菜单的操作项有一个名为连接到另一台计算机的菜单,点击它,输入远程计算机的IP,然后等上数十分钟,接着选择远程计算机的安全性日志,右键选择它的属性:点击属性里的清除日志按钮,OK!安全日志清除完毕!同
8、样的忍受痛苦去清除系统日志!目前在不借助第三工具的情况下,能很快,很顺利地清除FTP、还有Schedlgu日志,就是系统日志和安全日志属于Windoinistrator,注意必须作为管理员或管理组的成员登录才能打开安全日志记录。该过程适用于Wind
此文档下载收益归作者所有