清理你入侵后的痕迹

清理你入侵后的痕迹

应用程序日志、
安全日志、
系统日志、

DNS日志默认位置:%systemroot%/system32/config,默认文件大小512KB,管理员都会改变这个默认大小。安全日志文件:%systemroot%/system32/config/SecEvent.EVT
系统日志文件:%systemroot%/system32/config/SysEvent.EVT
应用程序日志文件:%systemroot%/system32/config/AppEvent.EVT
FTP日志默认位置:%systemroot%/system32/logfiles/msftpsvc1/,默认每天一个
WWW日志默认位置:%systemroot%/system32/logfiles/w3svc1/,默认每天一个日志

以上日志在注册表里的键: 应用程序日志,安全日志,系统日志,DNS服务器日志,
它们这些LOG文件在注册表中的:
HKEY_LOCAL_MACHINE/system/CurrentControlSet/Services/Eventlog

钥匙(表示成功)和锁(表示当用户在做什么时被系统停止)。接连四个锁图标,表示四次失败审核,事件类型是帐户登录和登录、注销失败

怎样删除这些日志: 通过上面,得知日志文件通常有某项服务在后台保护,除了系统日志、安全日志、应用程序日志等等,它们的服务是Windos2000的关键进程,而且与注册表文件在一块,当Windows2000启动后,启动服务来保护这些文件,所以很难删除.

下面就是很难的安全日志和系统日志了,守护这些日志的服务是Event Log,试着停掉它! D:/SERVER/system32/LogFiles/W3SVC1>net stop eventlog 这项服务无法接受请求的"暂停" 或"停止" 操作。
怎么清除系统日志.
怎么利用工具清除IIS日志
怎么清除历史和cookie
怎么察看防火墙Blackice的日志
netstat -an 表示的什么意思

===================================
1.系统日志 通过手工很难清除. 这里我们介绍一个工具 clearlog.exe

使用方法:
Usage: clearlogs [//computername] <-app / -sec / -sys>

   -app = 应用程序日志
   -sec = 安全日志
   -sys = 系统日志
a. 可以清除远程计算机的日志
** 先用ipc连接上去: net use //ip/ipc$ 密码/user:用户名
** 然后开始清除: 方法 
clearlogs //ip -app 这个是清除远程计算机的应用程序日志
clearlogs //ip -sec 这个是清除远程计算机的安全日志
clearlogs //ip -sys 这个是清除远程计算机的系统日志

b.清除本机日志: 如果和远程计算机的不能空连接. 那么就需要把这个工具传到远程计算机上面
然后清除. 方法:

clearlogs -app 这个是清除远程计算机的应用程序日志
clearlogs -sec 这个是清除远程计算机的安全日志
clearlogs -sys 这个是清除远程计算机的系统日志

安全日志已经被清除.Success: The log has been cleared 成功.

为了更安全一点.同样你也可以建立一个批处理文件.让自动清除. 做好批处理文件.然后用at命令建立一个计划任务. 让自动运行. 之后你就可以离开你的肉鸡了.
例如建立一个 c.bat

rem ============================== 开始
@echo off
clearlogs -app
clearlogs -sec
clearlogs -sys
del clearlogs.exe
del c.bat
exit
rem ============================== 结束

在你的计算机上面测试的时候 可以不要 @echo off 可以显示出来. 你可以看到结果
第一行表示: 运行时不显示窗口
第二行表示: 清除应用程序日志
第三行表示: 清除安全日志
第四行表示: 清除系统日志
第五行表示: 删除 clearlogs.exe 这个工具
第六行表示: 删除 c.bat 这个批处理文件
第七行表示: 退出

用AT命令. 建立一个计划任务. 这个命令在原来的教程里面和杂志里面都有. 你可以去看看详细的使用方法

AT 时间 c:/c.bat

之后你就可以安全离开了. 这样才更安全一点.

===================================
2.清除iis日志:
工具:cleaniis.exe
使用方法:
iisantidote
iisantidote stop
stop opiton will stop iis before clearing the files and restart it after
exemple : c:/winnt/system32/logfiles/w3svc1/ dont forget the /

使用方法解释:
cleaniis.exe iis日志存放的路径 清除参数

什么意思呢??我来给大家举个例子吧:
cleaniis c:/winnt/system32/logfiles/w3svc1/ 192.168.0.1
这个表示清除log中所有此IP(192.168.0.1)地址的访问记录.  -----推荐使用这种方法

cleaniis c:/winnt/system32/logfiles/w3svc1/ /shop/admin/
这个表示清除这个目录里面的所以的日志

c:/winnt/system32/logfiles/w3svc1 代表是iis日志的位置(windows nt/2000) 这个路径可以改变
c:/windows/system32/logfiles/w3svc1 代表是iis日志的位置(windows xp/2003) 这个路径可以改变

这个测试表示 在日志里面没有这个ip地址.
我们看一下日志的路径  再来看一下
我们的ip(192.168.0.1)已经没有了.
已经全部清空.

同样这个也可以建立批处理. 方法同上面的那个.

===================================
3.清除历史记录及运行的日志:
cleaner.exe
直接运行就可以了.

===================================
4.察看blackice的日志.
这个地方我们可以清除的看到 防火墙的日志.

这个表示 有人发过来带有病毒的email附件. ip是: 220.184.153.116
tcp_probe_other 表示 通过tcp 扫描 或者利用别的和你建立连接 通信
这个表示通过端口 80 扫描iis
病毒 nimda
这里需要很多的计算机协议知识. 同时也需要对英语有了解
才能更好的分析 如果对英语不好 你可以装一个金山词霸.
一般情况下 我们可以 对一些可以不用管.
一般这三种情况 不用去管.
最上面的 critical 这个 可以去关注一下 . 一般是确实有别的计算机扫描或者入侵你的计算机

count 代表次数  intruder 是对方的ip event 是通过什么方式(协议) 扫描或者想入侵的
time表示时间

5.===================================
netstat -an 表示什么意思?
使用这个命令可以察看到和本机的所有的连接.

Proto Local Address     Foreign Address    State
协议  本地端口及IP地址    远程端口及IP地址   状态

LISTENING 监听状态 表示等待对方连接

ESTABLISHED 正在连接着.

TCP 协议是TCP

UDP 协议是UDP

TCP  192.168.0.10:1115   61.186.97.54:80    ESTABLISHED
这个表示 利用tcp协议 本机ip(192.168.0.10)通过端口:1115 和远程ip(61.186.97.54)端口:80连接
80端口 表示 http 就是你在访问这个网站.

一般情况下远程ip的端口: 80 21 8000 这个都是正常的. 如果是别的 就可以看一下你的计算机了
 
 

  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
清理入侵痕迹是指在Linux系统中检测和删除入侵者在系统中留下的痕迹和恶意代码,以恢复系统的安全性。以下是清理入侵痕迹的一些步骤和方法。 首先,我们需要检测系统中是否存在入侵痕迹。可以通过查看系统日志、检查系统文件的完整性、扫描恶意软件和根套件工具等方式来进行检测。 确定存在入侵痕迹后,下一步是对其进行清理。可以按照以下步骤进行清理: 1. 确定受损的文件和系统组件:在检测过程中,记录被篡改、删除或添加的文件和系统组件,以便后续清理操作。 2. 中断入侵者的访问:如果入侵者仍然有权限访问系统,应立即中断其访问权限,禁用已被破坏或以其他方式受损的账户,并更改相关账户的密码。 3. 清除恶意文件和代码:根据之前记录的信息,找到并删除入侵者留下的恶意文件和代码。可以使用命令行工具如rm来删除文件,使用文本编辑器来查找和删除恶意代码。 4. 更新和修复受损的系统组件:根据之前的记录,恢复受损或篡改的系统组件。可以重新安装受影响的软件包或使用系统提供的更新工具来修复文件。 5. 加固系统安全性:完成清理后,应加固系统的安全性,防止再次遭受入侵。可以采取以下措施:更新系统和软件包、安装防火墙、配置访问控制和权限、加密通信等。 最后,建议定期备份重要数据,并定期检查系统是否被入侵。在遭受入侵后,及时采取措施进行清理和加固,以保障系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值