黑客在入侵后完美清理日志的总结

黑客在入侵后完美清理日志的总结

ID:23778103

大小:54.00 KB

页数:5页

时间:2018-11-10

黑客在入侵后完美清理日志的总结_第1页
黑客在入侵后完美清理日志的总结_第2页
黑客在入侵后完美清理日志的总结_第3页
黑客在入侵后完美清理日志的总结_第4页
黑客在入侵后完美清理日志的总结_第5页
资源描述:

《黑客在入侵后完美清理日志的总结》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、黑客在入侵后完美清理日志的总结~教育资源库  一:开始-程序-管理工具-计算机管理-系统工具-事件查看器,然后清除日志。  二:ACHINEsystemCurrentControlSetServicesEventlog  有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。  Schedluler服务日志在注册表中  HKEY_LOCAL_MACHINESOFTicrosoftSchedulingAgent  FTP和日志详解:  FTP日志和日志默认情况,每天生成一个日志文件,包

2、含了该日的一切记录,文件名通常为ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日产生的日志,用记事本就可直接打开,如下例:  #SoftationServices5.0(微软IIS5.0)  #Version:1.0(版本1.0)  #Date:200010230315(服务启动时间日期)  #Fields:timecipcsmethodcsuristemscstatus  0315127.0.0.1[1]USERadministator331 (IP地址为127.0.0.1用户名为administa

3、tor试图登录)  0318127.0.0.1[1]PASS–530 (登录失败)  032:04127.0.0.1[1]USERnt331 (IP地址为127.0.0.1用户名为nt的用户试图登录)  032:06127.0.0.1[1]PASS–530 (登录失败)  032:09127.0.0.1[1]USERcyz331 (IP地址为127.0.0.1用户名为cyz的用户试图登录)  0322127.0.0.1[1]PASS–530 (登录失败)  0322127.0.0.1[1]USE

4、Radministrator331 (IP地址为127.0.0.1用户名为administrator试图登录)  0324127.0.0.1[1]PASS–230 (登录成功)  0321127.0.0.1[1]MKDnt550 (新建目录失败)  0325127.0.0.1[1]QUIT–550 (退出FTP程序)  从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知管理员的入侵时间、IP地址以及探测的用户名,如上例入侵者最终是用admin

5、istrator用户名进入的,那么就要考虑更换此用户名的密码,或者重命名administrator用户。  日志:  服务同FTP服务一样,产生的日志也是在%systemroot%system32LogFilesozilla/4.0+(patible;+MSIE+5.0;+Windoinistator用户名登录,出现一个错误,是FTP服务。  这12下一页友情提醒:,特别!里有两种图标:钥匙(表示成功)和锁(表示当用户在做什么时被系统停止)。接连四个锁图标,表示四次失败审核,事件类型是帐户登录和登录、注销失败,日期为2000年10

6、月18日,时间为1002,这就需要重点观察。  双点第一个失败审核事件的,即得到此事件的详细描述。  经过分析我们可以得知有个CYZ的工作站,用administator用户名登录本机,但是因为用户名未知或密码错误(实际为密码错误)未能成功。另外还有DNS服务器日志,不太重要,就此略过(其实是我没有看过它)。  知道了SFTPSVC1>delex*.log  D:SERVERsystem32LogFilesMSFTPSVC1>  以上操作成功删除FTP日志!再来日志!  D:SERVERsystem32LogFiles3

7、2LogFiles32LogFilesW3SVC1>stopeventlog  这项服务无法接受请求的暂停或停止操作。没办法,它是关键服务。如果不用第三方工具,在命令行上根本没有删除安全日志和系统日志的可能!所以还是得用虽然简单但是速度慢得死机的办法:打开控制面板的管理工具中的事件查看器(98没有,知道用Win2k的好处了吧),在菜单的操作项有一个名为连接到另一台计算机的菜单,点击它,输入远程计算机的IP,然后等上数十分钟,接着选择远程计算机的安全性日志,右键选择它的属性:点击属性里的清除日志按钮,OK!安全日志清除完毕!同

8、样的忍受痛苦去清除系统日志!目前在不借助第三工具的情况下,能很快,很顺利地清除FTP、还有Schedlgu日志,就是系统日志和安全日志属于Windoinistrator,注意必须作为管理员或管理组的成员登录才能打开安全日志记录。该过程适用于Wind

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。