|
|
|
联系客服020-83701501

渗透必学(Win日志清理总结)

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
渗透必学(Win日记清理总结)

日记美满清理总结
一:入手下手 – 挨次 – 解决器械 – 计算机解决 – 零碎器械 -变乱搜查器,尔后拔除日记。

二: Windows2000的日记文件通常有操作挨越日记,安全日记、零碎日记、DNS处事器日记、FTP日记、WWW日记等等。

日记文件默许地位:

操作挨越日记、安全日记、零碎日记、DNS日记默许地位:%sys temroot%system32config,默许文件大小512KB,解决员城市扭转这个默许大小。

安全日记文件:%systemroot%system32configSecEvent.EVT;

零碎日记文件:%systemroot%system32configSysEvent.EVT;

操作挨越日记文件:%systemroot%system32configAppEvent.EVT;

网络信息处事FTP日记默许地位:%systemroot%system32logfilesmsftpsvc1,默许每天一个日记;

网络信息处事WWW日记默许地位:%systemroot%system32logfilesw3svc1,默许每天一个日记;

Scheduler处事日记默许地位:%sys temroot%schedlgu.txt;

以上日记在注册表里的键:

操作挨越日记,安全日记,零碎日记,DNS处事器日记,它们这些LOG文件在注册表中的:

HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog

有的解决员很可能将这些日记重定位。个中EVENTLOG下面有良多的子表,轮廓可查到以上日记的定位目录。

Schedluler处事日记在注册表中

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent

FTP和WWW日记详解:

FTP日记和WWW日记默许环境,每天生成一个日记文件,收罗了该日的一紧记实,文件名一般是ex(年份)(月份)(日期),譬如ex001023,就是2000年10月23日发生发火的日记,用记事本便可间接打开,如下例:

#Software: Microsoft 网络 Information Services 5.0  (微软IIS5.0)

#Version: 1.0 (版本1.0)

#Date: 20001023 0315 (处事发动工夫日期)

#Fields: time cip csmethod csuristem scstatus

0315 127.0.0.1 [1]USER administator 331 (IP地点为127.0.0.1用户名为administator试图登录)

0318 127.0.0.1 [1]PASS – 530 (登录溃烂)

032:04 127.0.0.1 [1]USER nt 331 (IP地点为127.0.0.1用户名为nt的用户试图登录)

032:06 127.0.0.1 [1]PASS – 530 (登录溃烂)

032:09 127.0.0.1 [1]USER cyz 331 (IP地点为127.0.0.1用户名为cyz的用户试图登录)

0322 127.0.0.1 [1]PASS – 530 (登录溃烂)

0322 127.0.0.1 [1]USER administrator 331 (IP地点为127.0.0.1用户名为administrator试图登录)

0324 127.0.0.1 [1]PASS – 230 (登录战败)

0321 127.0.0.1 [1]MKD nt 550 (新建目录溃烂)

0325 127.0.0.1 [1]QUIT – 550 (参与FTP挨次)

从 日记里就能够看出IP地点为127.0.0.1的用户不绝试图登录零碎,换了四次用户名和密码才战败,解决员即时便概略得悉解决员的入侵工夫、IP地点以及 探测的用户名,如上例入侵者最终是用administrator用户名进入的,那么就要考虑调动此用户名的密码,大概重命名administrator 用户。

WWW日记:

WWW处事同FTP处事同样,发生发火的日记也是在%sys temroot%sys tem32LogFilesW3SVC1目录下,默许是每天一个日记文件,下面是一个楷模的WWW日记文件

#Software: Microsoft 网络 Information Services 5.0

#Version: 1.0

#Date: 20001023 03:091

#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)

20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)

20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)

通 过阐发第六行,概略看出2000年10月23日,IP地点为192.168.1.26的用户经由拜访IP地点为192.168.1.37板滞的80端口, 搜查了一个页面iisstart.asp,这位用户的涉猎器为compatible; MSIE 5.0; Windows 98 DigExt,有指点的解决员便可经由安全日记、FTP日记和WWW日记来必定入侵者的IP地点以及入侵工夫。

既使你删掉FTP和WWW日记,可是仍是会在零碎日记和安全日记里记实下来,可是较好的是只暗示了你的板滞名,并无你的IP。

属性里记实了呈现申饬的启事,是因为有人试图用administator用户名登录,呈现一个过失,本源是FTP处事。

这里有两种图标:钥匙(示意战败)和锁(示意当用户在做什么时被零碎中缀)。连续四个锁图标,示意四次溃烂考核,变乱模范是帐户登录和登录、挂号溃烂,日期为2000年10月18日,工夫为1002,这就需求重点考察。

双点第一个溃烂考核变乱的,即失掉此变乱的具体描述。

经过阐发我们概略得悉有个CYZ的义务站,用administator用户名登录本机,可是因为用户名未知或密码过失(理论为密码过失)未能战败。此外还有DNS处事器日记,不太告急,就此略过(实际上是我不有看过它)。

晓得了Windows2000日记的具体环境,下面就要学会怎么删除这些日记:

通 过上面,得悉日记文件通常有某项处事在布景关怀,除了零碎日记、安全日记、操作挨越日记等等,它们的处事是Windos2000的环节进程,而且与注册表 文件在一块,当Windows2000发动后,发动处事来关怀这些文件,所以很难删除,而FTP日记和WWW日记以及Scedlgu日记凡是概略随意地删 除的。首先要获得Admnistrator密码或Administrators构成员之一,尔后Telnet到近程主机,先来试着删除FTP日记:

D:SERVER>del schedlgu.txt

D:SERVERSchedLgU.Txt

进程无法拜访文件,因为另外一个挨次正在哄骗此文件。说过了,布景有处事关怀,先把处事停掉!

D:SERVER>net stop “task scheduler”

下面的处事交付于 Task Scheduler 处事。中缀 Task Scheduler 处事也会中缀这些处事。

Remote Storage Engine

能否继续此垄断? (Y/N) [N]: y

Remote Storage Engine 处事正在中缀….

Remote Storage Engine 处事已战败中缀。

Task Scheduler 处事正在中缀.

Task Scheduler 处事已战败中缀。

OK,它的处事停掉了,同时也停掉了与它有交付干系的处事。再来试着删一下!

D:SERVER>del schedlgu.txt

D:SERVER>

不有回声?战败了!下一个是FTP日记和WWW日记,事理凡是同样,先停掉相关处事,尔后再删日记!

D:SERVERsystem32LogFilesMSFTPSVC1>del ex*.log

D:SERVERsystem32LogFilesMSFTPSVC1>

以上垄断战败删除FTP日记!再来WWW日记!

D:SERVERsystem32LogFilesW3SVC1>del ex*.log

D:SERVERsystem32LogFilesW3SVC1>

OK!恭喜,当初简单的日记都已战败删除。下面就是很难的安全日记和零碎日记了,捍卫这些日记的处事是Event Log,试着停掉它!

D:SERVERsystem32LogFilesW3SVC1>net stop eventlog

这 项处事无法遭受求告的 “暂停” 或 “中缀” 垄断。没设施,它是环节处事。假设不消第三方器械,在呼吁行上基础底细不有删除安全日记和零碎日记的可能!所以仍是得用虽然简单可是速度慢得死机的设施:打开 “管教面板”的“解决器械”中的“变乱搜查器”(98不有,晓得用Win2k的利益了吧),在菜单的“垄断”项有一个名为“连贯到另外一台计算机”的菜单, 点击它,输出近程计算机的IP,尔后等上数极端钟,接着决定近程计算机的安全性日记,右键决定它的属性:点击属性里的“拔除日记”按钮,OK!安全日记清 除结束!同样的忍受亏本去拔除零碎日记! 目前在不借助第三器械的环境下,能很快,很战败地拔除FTP、 WWW还有Schedlgu日记,就是零碎日记和安全日记属于Windows2000的严密捍卫,只能用外埠的变乱搜查器来打开它,因为在图形界面下,加 之网速又慢,假设你银子多,工夫闲,仍是概略拔除它的。综上所述,介绍了Windows2000的日记文件以及删除办法,可是你必须是 Administrator,当心必须作为解决员或解决组的成员登录才干打开安全日记记实。该进程适用于 Windows 2000 Professional 计算机,也适用于作为自力处事器或成员处事器运行的 Windows 2000 Server 计算机。

至 此,Windows2000安全知识基础底细讲座结束,还有几句话要讲,本身也看出来了,虽然FTP等等日记概略很快拔除,可是零碎日记和安全日记却不是那么 快、那么战败地能删除,假设碰着聪慧的解决员,将日记文件转移到另外一个中央,那更是难上加难,所以劝告本身,千万不要拿国内的主机做履行,国内的司法很严 呀!今天昨天吃饭时,据说有两个人开捉弄,一个人把此外一个人的器械藏起来了,后果阿阿谁一急,报案了,是以藏器械阿阿谁被判四年刑!!法官说司法是不开捉弄 的!!!所以本身定然要牢记这点!(不要说我须生常谈)

link:反侦察-网警你想如何抓到我

转自XSnake博客由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。

数安新闻+更多

证书相关+更多