首先介紹下日志的默認位置,只有我們知道了我們在服務器上留下的痕跡,才能擦除我們在計算機中留下的痕跡,而日志就是我們留下痕跡的位置所在.
安全日志文件:C:\WINDOWS\system32\config\SecEvent.Evt
系統日志文件:C:\WINDOWS\system32\config\SysEvent.Evt
應用程序日志文件:C:\WINDOWS\system32\config\AppEvent.Evt
FTP日志默認位置:C:\WINDOWS\system32\Logfiles\MSFTPSVC1
WWW日志默認位置:C:\WINDOWS\system32\Logfiles\W3SVC1
然而這些日志在系統正常運行的時候是不能被刪除的.FTP和WWW服務可以先把這2個服務停止掉,然後再刪除日志文件,但是安全,系統和應用程序的日志守護服務Event Log 是沒有辦法停止的.那麼有需要怎麼清理呢?
因為手工這一步有這種困難不好進行.所以我們可以利用工具.這裡我給大家講的用到的工具是CL.這個工具可以清理IIS日志.FTP日志`.計劃任務日志.系統日志.清理服務日志只需要執行
CL工具的清理命令
清理服務日志:cl -logfiles 127.0.0.1 (程序自動先把FTP.WWW.Task Scheduler服務停止再刪除日志,然後再啟動三個服務.)
清理系統日志:cl -enentlog all
此工具支持遠程清理,當然前提必須是建立了管理員權限的IPC管理連接.
連接命令:net use \\ip\ipc$ 密碼/user:用戶名
然後用CL -LogFile IP對主機進行遠程清理了.
============================================================================
對於IIS日志的清理
目前對於網站的入侵方式主要是注入,然後再提權拿下服務器,這樣主要的日志痕跡都留在了IIS日志裡,所以只需要把我們在IIS日志中的IP地址清楚掉就可以了.這樣清理的話更不會讓對方管理員起疑心.那麼真的要我們把IIS服務停掉,然後用記事本打開日志文件一點一點改嗎?當然不是了.只需要使用CleanIISLog工具就可以輕松搞定了.
CleanIISLog工具的用法:在CMD中執行CleanIISLog . IP地址就可以清楚所有IIS日志中有關IP的連接記錄了,保留其它IP記錄
當清楚成功後,CleanIISLog會在系統日志中將本身的運行記錄清楚.如果IIS的日志文件不是默認的話,可以執行CleanIISLog IIS日志路徑 服務器IP地址 來指定IIS日志的路徑.注意:此工具只能在本地運行,而且必須具有Administrators權限.
