步驟一:日志查看
①
在事件查看器中右鍵應用程序(或安全性、系統、DNS服務器)查看屬性可以得到日志存放文件的路徑,並可修改日志文件的大小,清除日志。例如選中“應用程序”右鍵屬性,如下圖:
②篩選
③個人電腦:C:\Windows\System32\LogFiles\setupcln
④ 查看www和ftp日志文件夾下的日志文件
嘗試對www服務中某一文件進行訪問,則日志中則會有相應的日志記錄如下圖。
日志中記錄了訪問www服務的請求地址,管理員可以根據請求地址,發現網絡上的攻擊,管理員可根據日志信息,采取一定的防護措施。
ftp的日志中同樣會記錄ftp服務的登陸用戶,以及登陸之后的操作。
⑤計划任務日志
當入侵者得到遠程系統的shell之后,常會利用計划任務運行功能更加強大的木馬程序,計划任務日志詳細的記錄的計划任務的執行時間,程序名稱等詳細信息。
打開計划任務文件夾,點擊“高級”-查看日志,即可查看計划任務日志
步驟二:日志清除
①先切換到主機虛擬機上,再下載使用elsave清除日志工具, 下載地址:http://tools.hetianlab.com/tools/Elsave.rar
②查看ip地址:cmd內輸入 ipconfig,再enter
主機ip地址:10.1.1.12
試驗台ip地址:10.1.1.13
先用ipc$管道進行連接,在cmd命令提示符下輸入 net use \\對方IP(實驗台IP)\ipc$ "密碼" /user:"用戶名";
連接成功后,開始進行日志清除。
回車后可以查看遠程主機內的系統日志已經被刪除了
③刪除常見服務日志
IIS的日志功能,它可以詳細的記錄下入侵全過程,如用unicode入侵時IE里打的命令,和對80端口掃描時留下的痕跡。
手動清除:日志的默認位置:%systemroot%\system32\logfiles\w3svc1\,默認每天一個日志。進入到遠程主機后(也可直接在實驗台中操作),cmd下切換到這個目錄下,然后 del *.*。或者刪除某一天的日志。如果無法刪除文件,首先需要停止w3svc服務,再對日志文件進行刪除,使用net 命令停止服務如下:
C:\>net stop w3svc
World Wide Web Publishing Service 服務正在停止。
World Wide Web Publishing Service 服務已成功停止。
日志w3svc停止后,然后清空它的日志, del *.*
C:\>net start w3svc
清除ftp日志,日志默認位置:%systemroot%\sys tem32\logfiles\msftpsvc1\,默認每天一個日志,清除方法同上。
④刪除計划任務日志
先來刪除計划任務日志:
在實驗台中命令行進入日志所在文件夾下(%systemroot%\Tasks), 刪除schedlgu.txt , 提示無法訪問文件,因為另一個程序正在使用此文件。說明服務保護,需要先把服務停掉。命令行中輸入net stop schedule;
下面的服務依賴於Task Scheduler 服務。停止Task Scheduler 服務也會停止這些服務。
Remote Storage Engine
Task Scheduler 服務正在停止. Task Scheduler 服務已成功停止。
如上顯示服務停掉了,同時也停掉了與它有依賴關系的服務。再來刪除schedlgu.txt;
刪除后需要再次啟動該任務以便主機能夠正常工作,輸入net start schedule:
分析與思考
1)還有哪些途徑可以發現網絡中存在的攻擊或者入侵。
網絡通信中尋找符合網絡入侵模式的數據包而發現攻擊特征
2)清理日志能否把所有的痕跡都清理干凈。
不能
答題
