服務(wù)器日志清理及IIS日志的清理

服務(wù)器日志清理及IIS日志的清理服務(wù)器日志清理及IIS日志的清理服務(wù)器日志清理及IIS日志的清理服務(wù)器日志清理及IIS日志的清理首先介紹下日志的默認位置,只有我們知道了我們在服務(wù)器上留下的痕跡，才能擦除我們在計算機中留下的痕跡，而日志就是我們留下痕跡的位置所在。

安全日志文件：C：\WINDOWS\system32\config\SecEvent.Evt

系統(tǒng)日志文件：C:\WINDOWS\system32\config\SysEvent.Evt

應(yīng)用程序日志文件：C：\WINDOWS\system32\config\AppEvent。Evt

FTP日志默認位置:C：\WINDOWS\system32\Logfiles\MSFTPSVC1

WWW日志默認位置：C:\WINDOWS\system32\Logfiles\W3SVC1

然而這些日志在系統(tǒng)正常運行的時候是不能被刪除的.FTP和WWW服務(wù)可以先把這2個服務(wù)停止掉,然后再刪除日志文件,但是安全，系統(tǒng)和應(yīng)用程序的日志守護服務(wù)EventLog是沒有辦法停止的。那么有需要怎么清理呢？

因為手工這一步有這種困難不好進行.所以我們可以利用工具.這里我給大家講的用到的工具是CL。這個工具可以清理IIS日志.FTP日志`。計劃任務(wù)日志。系統(tǒng)日志。清理服務(wù)日志只需要執(zhí)行

CL工具的清理命令

清理服務(wù)日志：cl-logfiles127.0。0。1(程序自動先把FTP。WWW。TaskScheduler服務(wù)停止再刪除日志,然后再啟動三個服務(wù).）

清理系統(tǒng)日志:cl—enentlogall

此工具支持遠程清理，當然前提必須是建立了管理員權(quán)限的IPC管理連接。

連接命令：netuse\\ip\ipc＄密碼/user：用戶名

然后用CL-LogFileIP對主機進行遠程清理了.

============================================================================

對于IIS日志的清理

目前對于網(wǎng)站的入侵方式主要是注入,然后再提權(quán)拿下服務(wù)器，這樣主要的日志痕跡都留在了IIS日志里,所以只需要把我們在IIS日志中的IP地址清楚掉就可以了.這樣清理的話更不會讓對方管理員起疑心.那么真的要我們把IIS服務(wù)停掉,然后用記事本打開日志文件一點一點改嗎？當然不是了.只需要使用CleanIISLog工具就可以輕松搞定了.

CleanIISLog工具的用法:在CMD中執(zhí)行CleanIISLog.IP地址就可以清楚所有IIS日志中有關(guān)IP的連接記錄了,保留其它IP記錄

當清楚成功后，CleanIISLog會在系統(tǒng)日志中將本身的運行記錄清楚。如果IIS的日志文件不是默認的話,可以執(zhí)行CleanIISLogIIS日志路徑服務(wù)器IP地址來指定IIS日志的路徑。注意：此工具只能在本地運行，而且必須具有Administrators權(quán)限。

windows系統(tǒng)日志分析一、Windows日志文件的保護日志文件對我們?nèi)绱酥匾?因此不能忽視對它的保護，防止發(fā)生某些“不法之徒”將日志文件清洗一空的情況。1．修改日志文件存放目錄Windows日志文件默認路徑是“%systemroot％system32config”，我們可以通過修改注冊表來改變它的存儲目錄，來增強對日志的保護。點擊“開始→運行”，在對話框中輸入“Regedit”,回車后彈出注冊表編輯器，依次展開“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System幾個子項分別對應(yīng)應(yīng)用程序日志、安全日志、系統(tǒng)日志。筆者以應(yīng)用程序日志為例,將其轉(zhuǎn)移到“d：\cce”目錄下。選中Application子項（如圖），在右欄中找到File鍵，其鍵值為應(yīng)用程序日志文件的路徑“%SystemRoot％system32configAppEvent。Evt”,將它修改為“d：cceAppEvent.Evt"。接著在D盤新建“CCE”目錄，將“AppEvent.Evt”拷貝到該目錄下，重新啟動系統(tǒng)，完成應(yīng)用程序日志文件存放目錄的修改。其它類型日志文件路徑修改方法相同,只是在不同的子項下操作，或建立一系列深目錄以存放新日志文件，如D：\01\02\03\04\05\06\07,起名的原則就是要“越不起眼，越好”。

2．設(shè)置文件訪問權(quán)限修改了日志文件的存放目錄后，日志還是可以被清空的，下面通過修改日志文件訪問權(quán)限，防止這種事情發(fā)生，前提是Windows系統(tǒng)要采用NTFS文件系統(tǒng)格式。右鍵點擊D盤的CCE目錄，選擇“屬性”,切換到“安全”標簽頁后，首先取消“允許將來自父系的可繼承權(quán)限傳播給該對象”選項勾選。接著在賬號列表框中選中“Everyone”賬號，只給它賦予“讀取"權(quán)限；然后點擊“添加”按鈕,將“System"賬號添加到賬號列表框中，賦予除“完全控制"和“修改”以外的所有權(quán)限，最后點擊“確定”按鈕。這樣當用戶清除Windows日志時,就會彈出錯誤對話框。二、Windows日志實例分析在Windows日志中記錄了很多操作事件，為了方便用戶對它們的管理，每種類型的事件都賦予了一個惟一的編號，這就是事件ID。1．查看正常開關(guān)機記錄在Windows系統(tǒng)中，我們可以通過事件查看器的系統(tǒng)日志查看計算機的開、關(guān)機記錄，這是因為日志服務(wù)會隨計算機一起啟動或關(guān)閉，并在日志中留下記錄。這里我們要介紹兩個事件ID“6006和6005"。6005表示事件日志服務(wù)已啟動，如果在事件查看器中發(fā)現(xiàn)某日的事件ID號為6005的事件，就說明在這天正常啟動了Windows系統(tǒng)。6006表示事件日志服務(wù)已停止，如果沒有在事件查看器中發(fā)現(xiàn)某日的事件ID號為6006的事件，就表示計算機在這天沒有正常關(guān)機,可能是因為系統(tǒng)原因或者直接切斷電源導致沒有執(zhí)行正常的關(guān)機操作。2．查看DHCP配置警告信息在規(guī)模較大的網(wǎng)絡(luò)中，一般都是采用DHCP服務(wù)器配置客戶端IP地址信息,如果客戶機無法找到DHCP服務(wù)器，就會自動使用一個內(nèi)部的IP地址配置客戶端，并且在Windows日志中產(chǎn)生一個事件ID號為1007的事件.如果用戶在日志中發(fā)現(xiàn)該編號事件，說明該機器無法從DHCP服務(wù)器獲得信息，就要查看是該機器網(wǎng)絡(luò)故障還是DHCP服務(wù)器問題。詳述Windows2000系統(tǒng)日志及刪除方法\t"_blank”windows2000的日志文件通常有應(yīng)用程序日志,安全日志、HYPERLINK”/"\t"_blank”系統(tǒng)日志、DNS服務(wù)器日志、FTP日志、WWW日志等等，可能會根據(jù)服務(wù)器所開啟的服務(wù)不同。當我們用流光探測時,比如說IPC探測，就會在安全日志里迅速地記下流光探測時所用的用戶名、時間等等，用FTP探測后，也會立刻在FTP日志中記下IP、時間、探測所用的用戶名和密碼等等。甚至連流影啟動時需要msvcp60.dll這個動庫鏈接庫，如果服務(wù)器沒有這個文件都會在日志里記錄下來，這就是為什么不要拿國內(nèi)主機探測的原因了，他們記下你的IP后會很容易地找到你,只要他想找你！！還有Scheduler日志這也是個重要的LOG，你應(yīng)該知道經(jīng)常使用的srv.exe就是通過這個服務(wù)來啟動的，其記錄著所有由Scheduler服務(wù)啟動的所有行為，如服務(wù)的啟動和停止.

日志文件默認位置：

應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日志默認位置：％systemroot％\system32\config，

默認文件大小512KB，管理員都會改變這個默認大小。

安全日志文件：%systemroot%\system32\config\SecEvent。EVT

系統(tǒng)日志文件：％systemroot％\system32\config\SysEvent。EVT

應(yīng)用程序日志文件：%systemroot%\system32\config\AppEvent。EVT

Internet信息服務(wù)FTP日志默認位置：％systemroot％\system32\logfiles\msftpsvc1\,默認每天一個日志

Internet信息服務(wù)WWW日志默認位置:％systemroot％\system32\logfiles\w3svc1\，默認每天一個日志

Scheduler服務(wù)日志默認位置：%systemroot％\schedlgu.txt

以上日志在注冊表里的鍵：

應(yīng)用程序日志，安全日志，系統(tǒng)日志,DNS服務(wù)器日志，它們這些LOG文件在注冊表中的：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog

有的管理員很可能將這些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目錄.

Schedluler服務(wù)日志在注冊表中

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

FTP和WWW日志詳解：

FTP日志和WWW日志默認情況，每天生成一個日志文件,包含了該日的一切記錄，文件名通常為ex（年份)(月份）（日期），例如ex001023，就是2000年10月23日產(chǎn)生的日志，用記事本就可直接打開，如下例：

#Software:MicrosoftInternetInformationServices5.0(微軟IIS5。0）

＃Version：1.0（版本1.0）

#Date:200010230315（服務(wù)啟動時間日期）

＃Fields：timecipcsmethodcsuristemscstatus

0315127。0.0.1[1]USERadministator331(IP地址為127.0。0.1用戶名為administator試圖登錄)

0318127.0。0.1［1]PASS–530（登錄失?。?/p>

032：04127。0.0.1[1］USERnt331（IP地址為用戶名為nt的用戶試圖登錄）

032：06127。0。0.1[1]PASS–530(登錄失?。?/p>

032：09[1]USERcyz331(IP地址為127。0.0.1用戶名為cyz的用戶試圖登錄）

0322[1］PASS–530（登錄失敗）

0322127。0.0.1［1]USERadministrator331(IP地址為127.0。0.1用戶名為administrator試圖登錄)

0324127。0.0。1［1］PASS–230（登錄成功）

0321127.0。0。1[1]MKDnt550（新建目錄失?。?/p>

0325127。0。0。1[1]QUIT–550(退出FTP程序）

從日志里就能看出IP地址為127.0。0.1的用戶一直試圖登錄系統(tǒng)，換了四次用戶名和密碼才成功,管理員立即就可以得知管理員的入侵時間、IP地址以及探測的用戶名，如上例入侵者最終是用administrator用戶名進入的，那么就要考慮更換此用戶名的密碼，或者重命名administrator用戶。WWW日志：

WWW服務(wù)同F(xiàn)TP服務(wù)一樣，產(chǎn)生的日志也是在%systemroot％\System32\LogFiles\W3SVC1目錄下,默認是每天一個日志文件,下面是一個典型的WWW日志文件

＃Software：MicrosoftInternetInformationServices5。0

#Version：1.0

#Date:2000102303：091

#Fields:datetimecipcsusernamesipsportcsmethodcsuristemcsuriqueryscstatuscs(UserAgent）

2000102303:091192。168。1。26192.168。1。3780GET/iisstart.asp200Mozilla/4。0+(compatible；+MSIE+5.0；+HYPERLINK”/"\t"_blank”windows+98；+DigExt)

2000102303:094192.168.1。26192。168.1。3780GET/pagerror。gif200Mozilla/4.0+(compatible；+MSIE+5。0；+Windows+98;+DigExt)

通過分析第六行，可以看出2000年10月23日，IP地址為192。168.1。26的用戶通過訪問IP地址為7機器的80端口，查看了一個頁面iisstart。asp,這位用戶的瀏覽器為compatible;+MSIE+5.0;+Windows+98+DigExt，有經(jīng)驗的管理員就可通過安全日志、FTP日志和WWW日志來確定入侵者的IP地址以及入侵時間。

既使你刪掉FTP和WWW日志，但是還是會在taskscheduler"

下面的服務(wù)依賴于TaskScheduler服務(wù)。

停止TaskScheduler服務(wù)也會停止這些服務(wù)。

RemoteStorageEngine

是否繼續(xù)此操作？（Y/N)[N]：y

RemoteStorageEngine服務(wù)正在停止。。..

RemoteStorageEngine服務(wù)已成功停止。

TaskScheduler服務(wù)正在停止。

TaskScheduler服務(wù)已成功停止.

OK，它的服務(wù)停掉了，同時也停掉了與它有依賴關(guān)系的服務(wù)。再來試著刪一下！

D:\SERVER〉delschedlgu。txt

D:\SERVER>

沒有反應(yīng)？成功了！下一個是FTP日志和WWW日志,原理都是一樣，先停掉相關(guān)服務(wù)，然后再刪日志！

D:\SERVER\system32\LogFiles\MSFTPSVC1〉delex＊。log

D:\SERVER\system32\LogFiles\MSFTPSVC1〉

以上操作成功刪除FTP日志！再來WWW日志！

D:\SERVER\system32\LogFiles\W3SVC1〉delex＊。log

D:\SERVER\system32\LogFiles\W3SVC1>

OK！恭喜，現(xiàn)在簡單的日志都已成功刪除。下面就是很難的安全日志和系統(tǒng)日志了，守護這些日志的服務(wù)是EventLog，試著停掉它！

D:\SERVER\system32\LogFiles\W3SVC1>netstopeventlog

這項服務(wù)無法接受請求的"暫?！?/p>