使用CleanIISLog清除IIS记录

使用CleanIISLog清除IIS记录

simeon原创

通过本案例可以学习到：

（ 1 ）了解 IIS 日志相关知识

（ 2 ）使用 CleanIISLog 软件清除 IIS 日志

 

郑重声明：

本章介绍的内容只是为了让读者了解黑客攻击的一般原理和方法，从而加强网络安全的意识，并非让读者真正的成为危害网络及社会的黑客。由于读者利用本章介绍的某些方法和工具对网络或别人的系统造成了危害或严重后果，作者不负任何责任。由此带来的一切法律后果由使用者自负

CleanIISLog 是由小榕写的一个清除 IIS LOG 记录的工具，其下载地址为： [url]http://www.netxeyes.com/cleaniislog.zip[/url] ，它除了可以直接清除所有的 IIS 日志外，还可以清除指定的的 IP 连接记录而保留其他 IP 记录；以及当清除成功后， CleanIISLog 会在系统日志中将本身的运行记录清除， CleanIISLog 只能在本地运行，而且必须具有 Administrators 权限，其用法为：

CleanIISLog <LogFile>|<.> <CleanIP>|<.>

<LogFile>: 指定要处理的日志文件，如果指定为“ . ”，则处理所有的日志文件，如果是处理所有日志文件，则需要较长时间。

<CleanIP>: 指定要清除的 IP 记录，如果指定为“ . ”，则清除所有的 IP 记录。

在前面的案例中，讲述了如何利用 AIO 软件来清除系统中的日志文件， AIO 清除日志文件采用的是直接删除。管理员或者安全人员利用恢复软件可以将被删除的日志记录恢复，从而从中获取入侵者的攻击等日志信息。本案例则是采用“重写”或者“替代”方式将一些敏感信息替换掉，彻底的清除了留在日志文件中的痕迹。

  打开网站“属性”。通过“控制面板” - “管理工具” - “ Internet 信息服务”打开 Internet 信息服务管理器，从“ Internet 信息服务”依次展开至“网站” - “默认网站”，然后右键单击选择“属性”，打开默认网站属性配置窗口，如图 1 所示，其它网站目录配置进行类似操作即可。

图 1 打开默认网站“属性”配置

  查看“ W 3C 扩展日志文件”的保存位置。在网站“属性”配置中，如果没有启用日志记录，则在系统中不会记录 IIS 的日志，默认是启用日志记录。单击活动日志格式下面的“属性”按钮，在弹出的窗口中可以看到日志记录的保存位置，如图 2 所示，单击“扩展属性”可以查看日志记录的详细设置选项。

图 2 查看 W 3C 扩展日志文件的保存位置

& 说明

① IIS 日志文件一般是存放于系统目录的 logfiles 目录，例如在 WindowsXP 以及 Windows2003 操作系统中，默认日志文件存放于“ C:\WINDOWS\system32\Logfiles\ ”目录下，日志文件夹以“ W3SVC ”进行命名，如果有多个网站目录，则会存在多个“ W3SVC ”目录。

  查看日志文件。如果在 IIS 配置中启用了日志记录，则用户在访问网站时，系统会自动记录 IIS 日志，并生成 log 文件。在本案例中直接打开“ C:\WINDOWS\system32\Logfiles\W3SVC1\ex071213.log ”日志文件，如图 3 所示，其中包含了用户访问的 IP 地址，访问的网站文件等信息。

图 3 打开日志文件

  测试 CleanIISLog 软件能否正常运行。启动 DOS 窗口，并到 CleanIISLog.exe 软件所在目录下，然后输入“ CleanIISLog ”命令；如果运行正常则会给出一些帮助信息，如图 4 所示；否则会提示错误信息。

图 4 测试 CleanIISLog 软件

J 技巧

一般 DOS 的软件在直接执行时都会给出一定的提示，因此可以直接输入软件名称即可。

  执行清除日志命令。在 DOS 窗口中输入以下命令：

CleanIISLog C:\WINDOWS\system32\Logfiles\W3SVC1\ex071213.log 192.168.1.6

其中“ C:\WINDOWS\system32\Logfiles\W3SVC1\ex071213.log ”为需要清除的日志文件，“ 192.168. 1.6 ” 为要清除的IP 地址。执行成功后，会提示修改了多少处，如图 5 所示。如果是需要清除其他字符，则可以将 IP 地址更换为字符即可。

图 5 执行清除日志命令

  打开清除 IP 地址后的日志文件。再次打开日志文件“ ex071213.log ”，从中可以发现该日志中无“ 192.168. 1.6 ” IP 地址信息，如图 6 所示。

图 6 删除 IP 地址后的日志文件

小结

本案例通过 CleanIISLog 软件来修改日志文件中的内容，尤其是清除 IP 地址以及文件名称尤为有用，清除后，日志文件依然存在，管理员从 IIS 日志文件中再也不出入侵者的“蛛丝马迹”了。

 

本文出自 “simeon技术专栏” 博客，谢绝转载！