dzseo被挂马_烟台黑帽se

摘要：dzseo被挂马_烟台黑帽sewindows入侵痕迹清理日志清理为了方便管理员了解掌握电脑的运行状态dzseo被挂马，Windows提供了完善的日志功能dzseo被挂马，将系统服务、权限设置、软件运行等相关事件分门别

dzseo被挂马_烟台黑帽se

windows入侵痕迹清理

日志清理

为了方便管理员了解掌握电脑的运行状态dzseo被挂马，Windows提供了完善的日志功能dzseo被挂马，将系统服务、权限设置、软件运行等相关事件分门别类详细记录于日志之中。所以，通过观察、分析系统日志，有经验的管理员不但可以了解黑客对系统做了哪些改动，甚至还可能会找出入侵的来源，例如从ftp日志找出黑客登录的lP地址。为此，清除日志几乎成为黑客入门的必修课。

WndowsXP操作系统为例，它的日志系统由默认提供的日志、防火墙日志、ns服务器日志三大类组成。

1．默认提供的日志

Windows系统默认提供应用程序日志、安全性日志和系统日志。应用程序主要记录应用程序运行时出现的错误和特效事件。

例如dzseo被挂马：停止响应、数据启动、停止等。安全性日志用于记录管理员指定的审核事项，假如管理员没有在组策略中指定需要审核的内容及审核的方向，说明此日志为空白状态。

系统日志用于记录各类系统运行的信息。例如Telnet服务启动后，系统日志将会记录该服务启动的时间，并留下一条关elnet服务正处于运行状态的描述。

从以上的分析不难看出，对于没有安装附加组件的"肉鸡"而言，系统日志是清除的首要目标。

2．防火墙日志

防火墙日志默认处于关闭状态，管理员启用了防火墙日志记录功能后，就会在vrindows目录内自动生成pfuwall.log文件，并记录相应的连接内容。假如找不到这个文件，则说明管理员没有启用防火墙日志功能

3．IIS日志

若用户安装了IIS服务器组件，就可以在"%systemroot%\system32\logfles\"中找到FTP、Web、Ils服务器等同志。

HTTPERR文件夹中存放的日志文件记录着Web运行、响应出错等信息，主要用于排解故障及优化Web服务，对黑客而言，其意义不大。

W3SVCl文件夹用于存放lP地址、用户名、服务器端口、用户所访问的UiRI资源、发出的URI查求等信息，管理员通过分析此文件可以找出黑客入侵的各种痕迹，所以，完成SQL注入、网站挂马等操作后，务必要清除此文件。

MSFTPSVC1文件夹保存着FTP日志，与前面介绍的Web、IIS日志相比，FTP日志更详细，不但包含用户登录操作，还包含用户的各种操作请求，例如记录用户利用UNICODE漏洞入侵服务器，就会留下相当多与cmd.exe有关的记录，所以，在成功入侵后，此日志须及时清除

日志清理

Eventvwr.msc

右键属性清楚日志

如果我们不想手工清除，我们可以下载clearlog.exe

使用方法:Usage: clearlogs [\\computername] -app / -sec / -sys

-app = 应用程序日志 -sec = 安全日志 -sys = 系统日志a. 可以清除远程计算机的日志** 先用ipc连接上去: net use \\ip\ipc$ 密码/user:用户名** 然后开始清除: 方法 clearlogs \\ip -app 这个是清除远程计算机的应用程序日志clearlogs \\ip -sec 这个是清除远程计算机的安全日志clearlogs \\ip -sys 这个是清除远程计算机的系统日志

b.清除本机日志: 如果和远程计算机的不能空连接. 那么就需要把这个工具传到远程计算机上面然后清除. 方法:

dzseo被挂马