天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

教你利用个人主机进行网络入侵法

2009-8-31网页教学网佚名

  清除日志

  攻击者在取得用户权限后,为了避免被发现,就要考虑清除用户主机的相关日志,因为日志 系统往往会记录攻击者的相关攻击过程和信息。

  Windows2000的日志文件通常有应用程序日志、安全日志、系统日志、DNS服务器日志、FTP 日志、WWW日志等等,可能会根据服务器所开启的服务不同。

  一般步骤如下:

  1.清除IIS的日志。

  可不要小看IIS的日志功能,它可以详细的记录下你的入侵全过程,如你用unicode入侵 时ie里打的命令,和对80端口扫描时留下的痕迹。

  1. 日志的默认位置:%systemroot%system32logfilesw3svc1,默认每天一个日志 。那我们就切换到这个目录下吧,然后 del *.*。但由于w3svc服务还开着,日志依然还在 。

  方法一: 如有3389可以登录,那就用notepad打开,按Ctrl+A 然后del吧。

  方法二: net 命令

  C:>net stop w3svc

  World Wide Web Publishing Service 服务正在停止。(可能会等很长的时间,也可能 不成功)

  World Wide Web Publishing Service 服务已成功停止。

  选择先让w3svc停止,再清除日志,不要忘了再重新打开w3svc服务。

  C:>net start w3svc

  2. 清除ftp日志

  FTP日志默认位置:%systemroot%sys tem32logfilesmsftpsvc1,默认每天一个日 志,清除方法同上。

  3. 清除Scheduler日志

  Scheduler服务日志默认位置:%systemroot%schedlgu.txt。清除方法同上。

  4. 应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%sys tem32config 。清除方法同上。

  注意以上三个目录可能不在上面的位置,那是因为管理员做了修改。可以读取注册表值 得到他们的位置:

  应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的

  HKEY_LOCAL_MACHINEsys temCurrentControlSetServicesEventlog

  Schedluler服务日志在注册表中的

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent

  5.清除安全日志和系统日志了,守护这些日志的服务是Event Log,试着停掉它!

  D:SERVERsystem32LogFilesW3SVC1>net stop eventlog

  这项服务无法接受请求的 "暂停" 或 "停止" 操作。没办法,它是关键服务。如果不用 第三方工具,在命令行上根本没有删除安全日志和系统日志的可能!打开“控制面板”的“ 管理工具”中的“事件查看器”,在菜单的“操作”项有一个名为“连接到另一台计算机” 的菜单,点击它然后输入远程计算机的IP,然后选择远程计算机的安全性日志,右键选择它 的属性,点击属性里的“清除日志”按钮,同样的方法去清除系统日志!

  6.上面大部分重要的日志你都已经清除了。然后要做的就是以防万一还有遗漏的了。

  del以下的一些文件:

  winnt*.log

  system32下

  logfiles*.*

  dtclog*.*

  config*.evt

  *.log

  *.txt

本文来源:网页教学网 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行