資源描述:
《黑客在入侵后完美清理日志的總結(jié)》由會員上傳分享��,免費在線閱讀�����,更多相關(guān)內(nèi)容在工程資料-天天文庫���。
1、黑客在入侵后完美清理日志的總結(jié)~教育資源庫 一:開始-程序-管理工具-計算機管理-系統(tǒng)工具-事件查看器���,然后清除日志��?���! 《?ACHINEsystemCurrentControlSetServicesEventlog 有的管理員很可能將這些日志重定位��。其中EVENTLOG下面有很多的子表���,里面可查到以上日志的定位目錄�����?����! chedluler服務日志在注冊表中 HKEY_LOCAL_MACHINESOFTicrosoftSchedulingAgent FTP和日志詳解: FTP日志和日志默認情況���,每天生成一個日志文件�,包
2�����、含了該日的一切記錄�,文件名通常為ex(年份)(月份)(日期),例如ex001023���,就是2000年10月23日產(chǎn)生的日志��,用記事本就可直接打開�,如下例: #SoftationServices5.0(微軟IIS5.0) #Version:1.0(版本1.0) #Date:200010230315(服務啟動時間日期) #Fields:timecipcsmethodcsuristemscstatus 0315127.0.0.1[1]USERadministator331?���。↖P地址為127.0.0.1用戶名為administa
3、tor試圖登錄) 0318127.0.0.1[1]PASS–530?�。ǖ卿浭����。 ?32:04127.0.0.1[1]USERnt331 (IP地址為127.0.0.1用戶名為nt的用戶試圖登錄) 032:06127.0.0.1[1]PASS–530?。ǖ卿浭。 ?32:09127.0.0.1[1]USERcyz331?���。↖P地址為127.0.0.1用戶名為cyz的用戶試圖登錄) 0322127.0.0.1[1]PASS–530 (登錄失?。 ?322127.0.0.1[1]USE
4、Radministrator331?��。↖P地址為127.0.0.1用戶名為administrator試圖登錄) 0324127.0.0.1[1]PASS–230?。ǖ卿洺晒Γ ?321127.0.0.1[1]MKDnt550?。ㄐ陆夸浭。 ?325127.0.0.1[1]QUIT–550?���。ㄍ顺鯢TP程序) 從日志里就能看出IP地址為127.0.0.1的用戶一直試圖登錄系統(tǒng),換了四次用戶名和密碼才成功,管理員立即就可以得知管理員的入侵時間���、IP地址以及探測的用戶名��,如上例入侵者最終是用admin
5����、istrator用戶名進入的�����,那么就要考慮更換此用戶名的密碼�����,或者重命名administrator用戶���?���! ∪罩荆骸 》胀現(xiàn)TP服務一樣���,產(chǎn)生的日志也是在%systemroot%system32LogFilesozilla/4.0+(patible;+MSIE+5.0;+Windoinistator用戶名登錄�,出現(xiàn)一個錯誤,是FTP服務�����?�! ∵@12下一頁友情提醒:����,特別����!里有兩種圖標:鑰匙(表示成功)和鎖(表示當用戶在做什么時被系統(tǒng)停止)。接連四個鎖圖標�����,表示四次失敗審核�����,事件類型是帳戶登錄和登錄�、注銷失敗,日期為2000年10
6����、月18日�����,時間為1002�,這就需要重點觀察�。 雙點第一個失敗審核事件的��,即得到此事件的詳細描述���?���! 〗?jīng)過分析我們可以得知有個CYZ的工作站��,用administator用戶名登錄本機�,但是因為用戶名未知或密碼錯誤(實際為密碼錯誤)未能成功。另外還有DNS服務器日志����,不太重要,就此略過(其實是我沒有看過它)�?! ≈懒薙FTPSVC1>delex*.log D:SERVERsystem32LogFilesMSFTPSVC1> 以上操作成功刪除FTP日志��!再來日志�����! D:SERVERsystem32LogFiles3
7���、2LogFiles32LogFilesW3SVC1>stopeventlog 這項服務無法接受請求的暫停或停止操作����。沒辦法,它是關(guān)鍵服務����。如果不用第三方工具,在命令行上根本沒有刪除安全日志和系統(tǒng)日志的可能���!所以還是得用雖然簡單但是速度慢得死機的辦法:打開控制面板的管理工具中的事件查看器(98沒有��,知道用Win2k的好處了吧)�,在菜單的操作項有一個名為連接到另一臺計算機的菜單��,點擊它,輸入遠程計算機的IP�,然后等上數(shù)十分鐘,接著選擇遠程計算機的安全性日志���,右鍵選擇它的屬性:點擊屬性里的清除日志按鈕����,OK��!安全日志清除完畢�!同
8、樣的忍受痛苦去清除系統(tǒng)日志����!目前在不借助第三工具的情況下,能很快��,很順利地清除FTP�����、還有Schedlgu日志���,就是系統(tǒng)日志和安全日志屬于Windoinistrator����,注意必須作為管理員或管理組的成員登錄才能打開安全日志記錄。該過程適用于Wind
