使用方式
開始-程序-管理工具-計算機管理-系統工具-事件查看器。
然後開始清理日誌。
各項日誌說明
Windows 2000 的日誌文件通常包括以下日誌,當然以下不完全:
- 應用程序日誌
- 安全日誌
- 系統日誌
- DNS服務器日誌
- FTP日誌
- WWW日誌
日誌文件的默認位置
應用程序日誌、安全日誌、系統日誌、DNS日誌默認位置: %systemroot%system32config
,默認文件大小爲512KB,管理員一般都會改變這個默認大小。
安全日誌文件:%systemroot%system32configSecEvent.EVT
系統日誌文件:%systemroot%system32configSysEvent.EVT
應用程序日誌文件:%systemroot%system32configAppEvent.EVT
Internet信息服務FTP日誌文件:%systemroot%system32logfilesmsftpsvc1
,默認每天一個日誌
Internet信息服務WWW日誌文件:%systemroot%system32logfilesw3svc1
,默認每天一個日誌
Scheduler服務日誌:%systemroot%schedlgu.txt
以上日誌在註冊表中的鍵
應用程序日誌、安全日誌、系統日誌、DNS服務器日誌,他們這些LOG在註冊表中的:
HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog
有的管理員很可能將這些日誌重定位。其中EVENTLOG下面有很多子表,裏面可以查到以上日誌的定位目錄。
Schedluler服務日誌在註冊表中的:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent
FTP與WWW日誌詳解
FTP日誌
FTP與WWW日誌默認情況,每天生成一個日誌文件,包含了該日的一切記錄,文件名通常爲ex(年份)(月份)(日期),例如ex001023
,就是2000年10月23日產生的日誌,用記事本就可以打開,假設如下所示。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
#Software: Microsoft Internet Infomation Services 5.0 (微軟IIS 5.0) #Version: 1.0 (版本1.0) #Date: 20001023 0315 (服務啓動時間日期) #Fields: time cip csmethod csuristem scstatus 0315 127.0.0.1 [1]USER administrator 331 (ip地址爲127.0.0.1用戶名爲 administrator 的用戶試圖登錄) 0318 127.0.0.1 [1]PASS -530 (登錄失敗) 032:04 127.0.0.1 [1]USER nt 331 (ip地址爲127.0.0.1用戶名爲 nt 的用戶試圖登錄) 032:06 127.0.0.1 [1]PASS -530 (登錄失敗) 032:09 127.0.0.1 [1]USER cyz 331 (ip地址爲127.0.0.1用戶名爲 cyz 的用戶試圖登錄) 0322 127.0.0.1 [1]PASS -530 (登錄失敗) 0322 127.0.0.1 [1]USER administrator 331 (ip地址爲127.0.0.1用戶名爲 administrator 的用戶試圖登錄) 0324 127.0.0.1 [1]PASS -230 (登錄成功) 0321 127.0.0.1 [1]MKD nt 550 (新建目錄失敗) 0325 127.0.0.1 [1]QUIT -550 (推出FTP) |
從日誌可以看到IP地址爲127.0.0.1的用戶一直在試圖登錄系統,換了四次用戶名和密碼才成功,管理員立即就可以得知攻擊者的入侵時間
,IP地址
以及探測的用戶名
,如上例入侵者最終是使用administrator
登錄的,那麼就要考慮更換此用戶的密碼,或更改用戶名。
WWW日誌
WWW服務同FTP服務一樣,產生的日誌也是在%systemroot%system32LogFilesW3SVC1
目錄下,默認是每天一個日誌文件,下面例舉一個典型的WWW日誌文件。
1 2 3 4 5 6 7 8 |
#Software: Microsoft Internet Infomation Services 5.0 (微軟IIS 5.0) #Version: 1.0 (版本1.0) #Date: 20001023 0315 (服務啓動時間日期) #Fields: date time cip cusername sip sport csmethod csuriquery scstatus cs(UserAngent) 20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt) 20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pageerror.gif 200 Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt) |
第一條記錄是,2000年10月23日,IP地址爲192.168.1.26的客戶通過訪問192.168.1.37服務器的80端口,查看了一個iisstart.asp的頁面,這個用戶的瀏覽器爲Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt),有經驗的管理員可以通過安全日誌、FTP日誌和WWW日誌來確定攻擊者的IP。
即使刪除了FTP日誌和WWW日誌,但是還是會在系統日誌和安全日誌中記錄下來,較好的是隻顯示了你的機器名,並沒有IP地址。
屬性裏記錄了出現警告的原因,是因爲有人試圖用administrator用戶名登錄,出現了一個錯誤,來源是FTP服務。
這裏有兩種圖標:鑰匙(表示成功)和鎖(表示當用戶在做什麼時被系統停止)。接連四個鎖圖標,表示四次失敗審覈,事件類型是帳戶登錄和登錄註銷失敗。
雙擊第一個失敗審覈事件,可以獲得這個事件的詳細描述。
經過分析我們可以得知有一個名爲CYZ
的工作站,用administrator的用戶名登錄本機,但是因爲用戶名未知或密碼錯誤(實際上是密碼錯誤)未能成功。另外還有DNS服務器日誌,這裏暫略。
日誌清理
通過上面,得知日誌文件通常有某項服務在後臺保護,除了系統日誌、安全日誌、應用程序日誌等等,它們的服務是Windos2000的關鍵進程,而且與註冊表文件在一塊,當Windows2000啓動後,啓動服務來保護這些文件,所以很難刪除,而FTP日誌、WWW日誌和Scedlgu日誌都可以輕易刪除。
首先要獲取Administrator密碼或Administrator用戶組成員之一,然後Telnet遠程連接
1 2 3 |
del schedlgu.txt net stop "task scheduler" |
分別進入FTP和WWW的目錄
1
|
del ex*.log
|
停止系統日誌的守護進程
1
|
net stop eventlog
|
其他常見工具
clearlog.exe
這裏我們介紹一個工具 clearlog.exe
使用方法:
Usage: clearlogs [\computername] <-app / -sec / -sys>
-app = 應用程序日誌
-sec = 安全日誌
-sys = 系統日誌
a. 可以清除遠程計算機的日誌
先用ipc連接上去: net use \ipipc$ 密碼/user:用戶名 然後開始清除: 方法
clearlogs \ip -app 這個是清除遠程計算機的應用程序日誌
clearlogs \ip -sec 這個是清除遠程計算機的安全日誌
clearlogs \ip -sys 這個是清除遠程計算機的系統日誌
b.清除本機日誌: 如果和遠程計算機的不能空連接. 那麼就需要把這個工具傳到遠程計算機上面
然後清除. 方法:
clearlogs -app 這個是清除遠程計算機的應用程序日誌
clearlogs -sec 這個是清除遠程計算機的安全日誌
clearlogs -sys 這個是清除遠程計算機的系統日誌
c.bat
1 2 3 4 5 6 7 8 9 |
rem ============================== 開始 @echo off clearlogs -app clearlogs -sec clearlogs -sys del clearlogs.exe del c.bat exit rem ============================== 結束 |
在你的計算機上面測試的時候 可以不要 @echo off 可以顯示出來. 你可以看到結果
第一行表示: 運行時不顯示窗口
第二行表示: 清除應用程序日誌
第三行表示: 清除安全日誌
第四行表示: 清除系統日誌
第五行表示: 刪除 clearlogs.exe 這個工具
第六行表示: 刪除 c.bat 這個批處理文件
第七行表示: 退出
用AT命令. 建立一個計劃任務. 這個命令在原來的教程裏面和雜誌裏面都有. 你可以去看看詳細的使用方法
AT 時間 c:c.bat
cleaniis.exe
工具:cleaniis.exe
使用方法:
1 2 3 |
iisantidote <logfile dir> <ip or string to hide> iisantidote <logfile dir><ip or string to hide> stop stop opiton will stop iis before clearing the files and restart it after |
< logfile dir> exemple : c:winntsystem32logfilesw3svc1 dont forget the
使用方法解釋:
cleaniis.exe iis日誌存放的路徑 清除參數
什麼意思呢??我來給大家舉個例子吧:
cleaniis c:winntsystem32logfilesw3svc1 192.168.0.1
這個表示清除log中所有此IP(192.168.0.1)地址的訪問記錄. —–推薦使用這種方法
cleaniis c:winntsystem32logfilesw3svc1 /shop/admin/
這個表示清除這個目錄裏面的所以的日誌
c:winntsystem32logfilesw3svc1 代表是iis日誌的位置(windows nt/2000) 這個路徑可以改變
c:windowssystem32logfilesw3svc1 代表是iis日誌的位置(windows xp/2003) 這個路徑可以改變
這個測試表示 在日誌裏面沒有這個ip地址.
我們看一下日誌的路徑 再來看一下
我們的ip(192.168.0.1)已經沒有了.
已經全部清空. 同樣這個也可以建立批處理. 方法同上面的那個
清除歷史記錄及運行的日誌
cleaner.exe
直接運行就可以了