officeba > 单独文章


清除3389入侵后留下的日志

    我们以前曾介绍了3389(远程桌面)的入侵方法(参见:如何利用远程桌面控制他人电脑),相信菜菜们一定抓了很多3389肉鸡吧。但是3389肉鸡抓完后,菜菜们有没有清除自己留下的痕迹呢?要知道,我们入侵的服务器上可是有日志监控的,从我们开始探测到入侵结束,每个步骤都被记录在服务器的日志中,管理员要得到你入侵时的IP地址很容易。本文就让我们来探讨一下如何清除3389入侵后留下的日志,使得我们能够全身而退。

     记录你入侵行为的日志

     如果我们从一开始打开目标网站开始计算,直到最后入侵结束,会在服务器的哪些地方留下日志呢?以Windows2000为例:

     一.WWW日志,也就是网站日志,位于服务器的%systemroot%\system32\logfiles\w3svc1\目录,默认是每天一个日志,记录游客访问网站时的IP地址、动作以及操作系统版本等信息。如果我们通过SQL注入来猜解网站管理员密码,那么管理员通过对网站日志的检查,很容易就能发现我们的IP地址。

     二.安全日志、系统日志、应用程序日志。在我们入侵成功后,用远程桌面登录到服务器时,安全日志和系统日志就会记录下你的IP地址,同时,如果你在服务器上安装了一些木马程序,日志也会记录下你的相关操作。这三个日志在服务器上的位置分别为:

     安全日志文件:%systemroot%\system32\config\SecEvent.EVT
     系统日志文件:%systemroot%\system32\config\SysEvent.EVT
     应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT

     手工清除日志

     知道了日志文件的位置,我们该如何清除呢?如果你已经通过远程桌面链接上了服务器,那么只要进入到相应的文件夹,删除日志文件即可。我们也可以进入到服务器的控制面板→管理工具→事件查看器,选择相应的日志类型,点击右键,在出现的菜单中选择“清除所有事件”。



图1.“事件查看器”记录着很多日志

     用工具清除日志

     用远程桌面清除日志虽然方便,但有一个缺点:就是当我们断开远程连接时,这个断开事件又会被记录到日志中。这样还是会留下安全隐患,因此我们可以借助于专门的日志删除工具来清除日志。



图2.清除指定IP的日志

     通过“命令提示符”将clear3389.exe上传到服务器,然后输入命令“cleaniislog . 127.0.0.1”并回车,其中127.0.0.1是你入侵时的IP地址,这样工具将会删除服务器上所有包含有127.0.0.1这个IP的日志。

     删除本机上连接日志

     肉鸡上的日志算是清除完成了,但别忘了在自己的电脑上也会留下痕迹。我们在用远程桌面进行连接后,在本机的远程桌面连接的“计算机”栏就会显示最近连接的电脑IP地址,虽然它存在于自己的电脑上,但是万一当警察叔叔找上门来的时候,就比较有用了。



图3.清除本机3389连接记录

     删除的方法为:点击“开始”→“运行”,输入regedit运行“注册表编辑器”,定位到HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default,将右边相应的IP键值删除即可。


声明:欢迎各大网站转载本站文章,还请保留一条能直接指向本站的超级链接,谢谢!

时间:2008-10-15 07:29:02,点击:65824


【OfficeBa论坛】:阅读本文时遇到了什么问题,可以到论坛进行交流!Excel专家邮件:342327115@qq.com(大家在Excel使用中遇到什么问题,可以咨询此邮箱)。

【声明】:以上文章或资料除注明为Office自创或编辑整理外,均为各方收集或网友推荐所得。其中摘录的内容以共享、研究为目的,不存在任何商业考虑。如有任何异议,请与本站联系,本站确认后将立即撤下。谢谢您的支持与理解!


相关评论

我要评论

评论内容