开始-程序-管理工具-计算机管理-系统工具-事件查看器。
然后开始清理日志。
Windows 2000 的日志文件通常包括以下日志,当然以下不完全:
应用程序日志、安全日志、系统日志、DNS日志默认位置: %systemroot%system32config
,默认文件大小为512KB,管理员一般都会改变这个默认大小。
安全日志文件:%systemroot%system32configSecEvent.EVT
系统日志文件:%systemroot%system32configSysEvent.EVT
应用程序日志文件:%systemroot%system32configAppEvent.EVT
Internet信息服务FTP日志文件:%systemroot%system32logfilesmsftpsvc1
,默认每天一个日志
Internet信息服务WWW日志文件:%systemroot%system32logfilesw3svc1
,默认每天一个日志
Scheduler服务日志:%systemroot%schedlgu.txt
应用程序日志、安全日志、系统日志、DNS服务器日志,他们这些LOG在注册表中的:
HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog
有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多子表,里面可以查到以上日志的定位目录。
Schedluler服务日志在注册表中的:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent
FTP与WWW日志默认情况,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期),例如ex001023
,就是2000年10月23日产生的日志,用记事本就可以打开,假设如下所示。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
#Software: Microsoft Internet Infomation Services 5.0 (微软IIS 5.0) #Version: 1.0 (版本1.0) #Date: 20001023 0315 (服务启动时间日期) #Fields: time cip csmethod csuristem scstatus 0315 127.0.0.1 [1]USER administrator 331 (ip地址为127.0.0.1用户名为 administrator 的用户试图登录) 0318 127.0.0.1 [1]PASS -530 (登录失败) 032:04 127.0.0.1 [1]USER nt 331 (ip地址为127.0.0.1用户名为 nt 的用户试图登录) 032:06 127.0.0.1 [1]PASS -530 (登录失败) 032:09 127.0.0.1 [1]USER cyz 331 (ip地址为127.0.0.1用户名为 cyz 的用户试图登录) 0322 127.0.0.1 [1]PASS -530 (登录失败) 0322 127.0.0.1 [1]USER administrator 331 (ip地址为127.0.0.1用户名为 administrator 的用户试图登录) 0324 127.0.0.1 [1]PASS -230 (登录成功) 0321 127.0.0.1 [1]MKD nt 550 (新建目录失败) 0325 127.0.0.1 [1]QUIT -550 (推出FTP) |
从日志可以看到IP地址为127.0.0.1的用户一直在试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知攻击者的入侵时间
,IP地址
以及探测的用户名
,如上例入侵者最终是使用administrator
登录的,那么就要考虑更换此用户的密码,或更改用户名。
WWW服务同FTP服务一样,产生的日志也是在%systemroot%system32LogFilesW3SVC1
目录下,默认是每天一个日志文件,下面例举一个典型的WWW日志文件。
1 2 3 4 5 6 7 8 |
#Software: Microsoft Internet Infomation Services 5.0 (微软IIS 5.0) #Version: 1.0 (版本1.0) #Date: 20001023 0315 (服务启动时间日期) #Fields: date time cip cusername sip sport csmethod csuriquery scstatus cs(UserAngent) 20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt) 20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pageerror.gif 200 Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt) |
第一条记录是,2000年10月23日,IP地址为192.168.1.26的客户通过访问192.168.1.37服务器的80端口,查看了一个iisstart.asp的页面,这个用户的浏览器为Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt),有经验的管理员可以通过安全日志、FTP日志和WWW日志来确定攻击者的IP。
即使删除了FTP日志和WWW日志,但是还是会在系统日志和安全日志中记录下来,较好的是只显示了你的机器名,并没有IP地址。
属性里记录了出现警告的原因,是因为有人试图用administrator用户名登录,出现了一个错误,来源是FTP服务。
这里有两种图标:钥匙(表示成功)和锁(表示当用户在做什么时被系统停止)。接连四个锁图标,表示四次失败审核,事件类型是帐户登录和登录注销失败。
双击第一个失败审核事件,可以获得这个事件的详细描述。
经过分析我们可以得知有一个名为CYZ
的工作站,用administrator的用户名登录本机,但是因为用户名未知或密码错误(实际上是密码错误)未能成功。另外还有DNS服务器日志,这里暂略。
通过上面,得知日志文件通常有某项服务在后台保护,除了系统日志、安全日志、应用程序日志等等,它们的服务是Windos2000的关键进程,而且与注册表文件在一块,当Windows2000启动后,启动服务来保护这些文件,所以很难删除,而FTP日志、WWW日志和Scedlgu日志都可以轻易删除。
首先要获取Administrator密码或Administrator用户组成员之一,然后Telnet远程连接
1 2 3 |
del schedlgu.txt net stop "task scheduler" |
分别进入FTP和WWW的目录
1
|
del ex*.log
|
停止系统日志的守护进程
1
|
net stop eventlog
|
这里我们介绍一个工具 clearlog.exe
使用方法:
Usage: clearlogs [\computername] <-app / -sec / -sys>
-app = 应用程序日志
-sec = 安全日志
-sys = 系统日志
a. 可以清除远程计算机的日志
先用ipc连接上去: net use \ipipc$ 密码/user:用户名 然后开始清除: 方法
clearlogs \ip -app 这个是清除远程计算机的应用程序日志
clearlogs \ip -sec 这个是清除远程计算机的安全日志
clearlogs \ip -sys 这个是清除远程计算机的系统日志
b.清除本机日志: 如果和远程计算机的不能空连接. 那么就需要把这个工具传到远程计算机上面
然后清除. 方法:
clearlogs -app 这个是清除远程计算机的应用程序日志
clearlogs -sec 这个是清除远程计算机的安全日志
clearlogs -sys 这个是清除远程计算机的系统日志
c.bat
1 2 3 4 5 6 7 8 9 |
rem ============================== 开始 @echo off clearlogs -app clearlogs -sec clearlogs -sys del clearlogs.exe del c.bat exit rem ============================== 结束 |
在你的计算机上面测试的时候 可以不要 @echo off 可以显示出来. 你可以看到结果
第一行表示: 运行时不显示窗口
第二行表示: 清除应用程序日志
第三行表示: 清除安全日志
第四行表示: 清除系统日志
第五行表示: 删除 clearlogs.exe 这个工具
第六行表示: 删除 c.bat 这个批处理文件
第七行表示: 退出
用AT命令. 建立一个计划任务. 这个命令在原来的教程里面和杂志里面都有. 你可以去看看详细的使用方法
AT 时间 c:c.bat
工具:cleaniis.exe
使用方法:
1 2 3 |
iisantidote |
< logfile dir> exemple : c:winntsystem32logfilesw3svc1 dont forget the
使用方法解释:
cleaniis.exe iis日志存放的路径 清除参数
什么意思呢??我来给大家举个例子吧:
cleaniis c:winntsystem32logfilesw3svc1 192.168.0.1
这个表示清除log中所有此IP(192.168.0.1)地址的访问记录. —–推荐使用这种方法
cleaniis c:winntsystem32logfilesw3svc1 /shop/admin/
这个表示清除这个目录里面的所以的日志
c:winntsystem32logfilesw3svc1 代表是iis日志的位置(windows nt/2000) 这个路径可以改变
c:windowssystem32logfilesw3svc1 代表是iis日志的位置(windows xp/2003) 这个路径可以改变
这个测试表示 在日志里面没有这个ip地址.
我们看一下日志的路径 再来看一下
我们的ip(192.168.0.1)已经没有了.
已经全部清空. 同样这个也可以建立批处理. 方法同上面的那个
cleaner.exe
直接运行就可以了
[1] 日志分析-1
[2] 日志分析-2
[3] 日志分析-3 对抗