#Version: 1.0

#Date: 20001023 03:091

#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)

20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)

20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)

通過(guò)分析第六行 ， 可以看出2000年10月23日 ， IP地址為192.168.1.26的用戶(hù)通過(guò)訪問(wèn)IP地址為192.168.1.37機(jī)器的80端口 ， 查看了一個(gè)頁(yè)面iisstart.asp,這位用戶(hù)的瀏覽器為compatible; MSIE 5.0; Windows 98 DigExt ， 有經(jīng)驗(yàn)的管理員就可通過(guò)安全日志、FTP日志和WWW日志來(lái)確定入侵者的IP地址以及入侵時(shí)間 。


　既使你刪掉FTP和WWW日志 ， 但是還是會(huì)在系統(tǒng)日志和安全日志里記錄下來(lái) ， 但是較好的是只顯示了你的機(jī)器名 ， 并沒(méi)有你的IP ， 例如上面幾個(gè)探測(cè)之后 ， 系統(tǒng)日志將會(huì)產(chǎn)生下面的記錄：一眼就能看出2000年10月23日 ， 16點(diǎn)17分 ， 系統(tǒng)因?yàn)槟承┦录霈F(xiàn)警告 ， 雙擊頭一個(gè) ， 打開(kāi)它的屬性：

屬性里記錄了出現(xiàn)警告的原因 ， 是因?yàn)橛腥嗽噲D用administator用戶(hù)名登錄 ， 出現(xiàn)一個(gè)錯(cuò)誤 ， 來(lái)源是FTP服務(wù) 。同時(shí)安全記錄里寫(xiě)將同時(shí)記下,我們可以看到兩種圖標(biāo)：鑰匙(表示成功)和鎖(表示當(dāng)用戶(hù)在做什么時(shí)被系統(tǒng)停止) 。接連四個(gè)鎖圖標(biāo) ， 表示四次失敗審核 ， 事件類(lèi)型是帳戶(hù)登錄和登錄、注銷(xiāo)失敗 ， 日期為2000年10月18日 ， 時(shí)間為1002 ， 這就需要重點(diǎn)觀察 。

雙點(diǎn)第一個(gè)失敗審核事件的 ， 即得到此事件的詳細(xì)描述 ， 我們可以得知有個(gè)CYZ的工作站 ， 用administator用戶(hù)名登錄本機(jī) ， 但是因?yàn)橛脩?hù)名未知或密碼錯(cuò)誤(實(shí)際為密碼錯(cuò)誤)未能成功 。

另外還有DNS服務(wù)器日志 ， 不太重要 ， 就此略過(guò)(其實(shí)是我沒(méi)有看過(guò)它)

知道了Windows2000日志的詳細(xì)情況 ， 下面就要學(xué)會(huì)怎樣刪除這些日志：

通過(guò)上面 ， 得知日志文件通常有某項(xiàng)服務(wù)在后臺(tái)保護(hù) ， 除了系統(tǒng)日志、安全日志、應(yīng)用程序日志等等 ， 它們的服務(wù)是WinDos2000的關(guān)鍵進(jìn)程 ， 而且與注冊(cè)表文件在一塊 ， 當(dāng)Windows2000啟動(dòng)后 ， 啟動(dòng)服務(wù)來(lái)保護(hù)這些文件 ， 所以很難刪除 ， 而FTP日志和WWW日志以及Scedlgu日志都是可以輕易地刪除的 。

首先要取得Admnistrator密碼或Administrators組成員之一 ， 然后Telnet到遠(yuǎn)程主機(jī) ， 先來(lái)試著刪除FTP日志：

D:SERVER>del schedlgu.txt

D:SERVERSchedLgU.Txt

進(jìn)程無(wú)法訪問(wèn)文件 ， 因?yàn)榱硪粋€(gè)程序正在使用此文件 。

說(shuō)過(guò)了 ， 后臺(tái)有服務(wù)保護(hù) ， 先把服務(wù)停掉！

D:SERVER>net stop "task scheduler"

下面的服務(wù)依賴(lài)于 Task Scheduler 服務(wù) 。

停止 Task Scheduler 服務(wù)也會(huì)停止這些服務(wù) 。

Remote Storage Engine

是否繼續(xù)此操作? (Y/N) [N]: y

Remote Storage Engine 服務(wù)正在停止....

Remote Storage Engine 服務(wù)已成功停止 。

Task Scheduler 服務(wù)正在停止.

Task Scheduler 服務(wù)已成功停止 。

OK ， 它的服務(wù)停掉了 ， 同時(shí)也停掉了與它有依賴(lài)關(guān)系的服務(wù) 。再來(lái)試著刪一下！

D:SERVER>del schedlgu.txt

D:SERVER>

沒(méi)有反應(yīng)？成功了！下一個(gè)是FTP日志和WWW日志 ， 原理都是一樣 ， 先停掉相關(guān)服務(wù) ， 然后再刪日志！

D:SERVERsystem32LogFilesMSFTPSVC1>del ex*.log

D:SERVERsystem32LogFilesMSFTPSVC1>

以上操作成功刪除FTP日志！再來(lái)WWW日志！

D:SERVERsystem32LogFilesW3SVC1>del ex*.log

D:SERVERsystem32LogFilesW3SVC1>

OK！恭喜 ， 現(xiàn)在簡(jiǎn)單的日志都已成功刪除 。下面就是很難的安全日志和系統(tǒng)日志了 ， 守護(hù)這些日志的服務(wù)是Event Log ， 試著停掉它！

推薦閱讀

• 

  翡翠里面的黑點(diǎn)叫什么 翡翠上的黑點(diǎn)是什么意思
• 

  學(xué)叉車(chē)要多少學(xué)費(fèi)
• 

  大閘蟹哪里的比較出名
• 

  不想考駕照了可以退報(bào)名費(fèi)嗎
• 

  可燃物發(fā)生自燃的主要方式有
• 無(wú)間道劉德華為什么要?dú)⒑舞?
• 

  ipad家長(zhǎng)控制如何設(shè)置
• 

  膠水放久了干了怎么辦
• 

  車(chē)載導(dǎo)航流量如何繳費(fèi)
• 

  王芊懿個(gè)人資料 王芊懿個(gè)人簡(jiǎn)介
• 

  意見(jiàn)反饋是什么意思
• 

  輪轂刮多深需要換
• 

  麗江到昆明的車(chē)費(fèi)多少錢(qián)一天，請(qǐng)問(wèn)三個(gè)人去云南的昆明和麗江需要需要多少費(fèi)用
• 

  人體的呼吸的是什么
• 

  夢(mèng)到被子是什么意思啊
• 

  客廳能擺放假花嗎

• Windows 2000 安全
• 詳述Win 2000日志及其刪除方法
• 1 《Undocumented Windows 2000 Secrets》翻譯 --- 第五章
• 1 《Undocumented Windows 2000 Secrets》翻譯 --- 2
• 在Windows NT域和Windows 2000域之間建立信任關(guān)系
• 移花接木 解決Windows 2000無(wú)法啟動(dòng)的問(wèn)題
• 使用命令行參數(shù)為系統(tǒng)打補(bǔ)丁
• 克隆windows 2000管理員帳號(hào)
• Windows 2000 優(yōu)化完全攻略
• Win2000模塊解析工具