資源描述:
《黑客在入侵后完美清理日志的總結(jié)》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1�����、黑客在入侵后完美清理日志的總結(jié)~教育資源庫 一:開始-程序-管理工具-計(jì)算機(jī)管理-系統(tǒng)工具-事件查看器�����,然后清除日志��?���! 《?ACHINEsystemCurrentControlSetServicesEventlog 有的管理員很可能將這些日志重定位����。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目錄���?����! chedluler服務(wù)日志在注冊表中 HKEY_LOCAL_MACHINESOFTicrosoftSchedulingAgent FTP和日志詳解: FTP日志和日志默認(rèn)情況����,每天生成一個(gè)日志文件����,包
2�、含了該日的一切記錄�,文件名通常為ex(年份)(月份)(日期),例如ex001023��,就是2000年10月23日產(chǎn)生的日志���,用記事本就可直接打開�����,如下例: #SoftationServices5.0(微軟IIS5.0) #Version:1.0(版本1.0) #Date:200010230315(服務(wù)啟動時(shí)間日期) #Fields:timecipcsmethodcsuristemscstatus 0315127.0.0.1[1]USERadministator331?�。↖P地址為127.0.0.1用戶名為administa
3����、tor試圖登錄) 0318127.0.0.1[1]PASS–530?�。ǖ卿浭���。 ?32:04127.0.0.1[1]USERnt331?��。↖P地址為127.0.0.1用戶名為nt的用戶試圖登錄) 032:06127.0.0.1[1]PASS–530 (登錄失?����。 ?32:09127.0.0.1[1]USERcyz331 (IP地址為127.0.0.1用戶名為cyz的用戶試圖登錄) 0322127.0.0.1[1]PASS–530?���。ǖ卿浭。 ?322127.0.0.1[1]USE
4�����、Radministrator331?����。↖P地址為127.0.0.1用戶名為administrator試圖登錄) 0324127.0.0.1[1]PASS–230?��。ǖ卿洺晒Γ ?321127.0.0.1[1]MKDnt550 (新建目錄失?���。 ?325127.0.0.1[1]QUIT–550 (退出FTP程序) 從日志里就能看出IP地址為127.0.0.1的用戶一直試圖登錄系統(tǒng)����,換了四次用戶名和密碼才成功�,管理員立即就可以得知管理員的入侵時(shí)間���、IP地址以及探測的用戶名�,如上例入侵者最終是用admin
5�����、istrator用戶名進(jìn)入的�����,那么就要考慮更換此用戶名的密碼��,或者重命名administrator用戶�。 日志: 服務(wù)同F(xiàn)TP服務(wù)一樣���,產(chǎn)生的日志也是在%systemroot%system32LogFilesozilla/4.0+(patible;+MSIE+5.0;+Windoinistator用戶名登錄����,出現(xiàn)一個(gè)錯(cuò)誤���,是FTP服務(wù)��?���! ∵@12下一頁友情提醒:,特別���!里有兩種圖標(biāo):鑰匙(表示成功)和鎖(表示當(dāng)用戶在做什么時(shí)被系統(tǒng)停止)����。接連四個(gè)鎖圖標(biāo)���,表示四次失敗審核�,事件類型是帳戶登錄和登錄�、注銷失敗�,日期為2000年10
6、月18日�����,時(shí)間為1002���,這就需要重點(diǎn)觀察���?��! ‰p點(diǎn)第一個(gè)失敗審核事件的,即得到此事件的詳細(xì)描述��?���! 〗?jīng)過分析我們可以得知有個(gè)CYZ的工作站,用administator用戶名登錄本機(jī)���,但是因?yàn)橛脩裘粗蛎艽a錯(cuò)誤(實(shí)際為密碼錯(cuò)誤)未能成功�����。另外還有DNS服務(wù)器日志�,不太重要�����,就此略過(其實(shí)是我沒有看過它)�。 知道了SFTPSVC1>delex*.log D:SERVERsystem32LogFilesMSFTPSVC1> 以上操作成功刪除FTP日志!再來日志��! D:SERVERsystem32LogFiles3
7��、2LogFiles32LogFilesW3SVC1>stopeventlog 這項(xiàng)服務(wù)無法接受請求的暫?�;蛲V共僮?。沒辦法,它是關(guān)鍵服務(wù)��。如果不用第三方工具��,在命令行上根本沒有刪除安全日志和系統(tǒng)日志的可能����!所以還是得用雖然簡單但是速度慢得死機(jī)的辦法:打開控制面板的管理工具中的事件查看器(98沒有,知道用Win2k的好處了吧)�,在菜單的操作項(xiàng)有一個(gè)名為連接到另一臺計(jì)算機(jī)的菜單,點(diǎn)擊它��,輸入遠(yuǎn)程計(jì)算機(jī)的IP��,然后等上數(shù)十分鐘�,接著選擇遠(yuǎn)程計(jì)算機(jī)的安全性日志�����,右鍵選擇它的屬性:點(diǎn)擊屬性里的清除日志按鈕,OK��!安全日志清除完畢�!同
8、樣的忍受痛苦去清除系統(tǒng)日志��!目前在不借助第三工具的情況下����,能很快,很順利地清除FTP��、還有Schedlgu日志����,就是系統(tǒng)日志和安全日志屬于Windoinistrator,注意必須作為管理員或管理組的成員登錄才能打開安全日志記錄����。該過程適用于Wind
