当前位置: 代码网 > 服务器>网络安全>企业安全 > 个人主机入侵网络攻击的步骤

个人主机入侵网络攻击的步骤

2009年06月13日 企业安全 我要评论
个人主机入侵网络攻击的步骤  个人主机入侵网络攻击的步骤   第一步:隐藏自已的位置   为了不在目的主机上留下自己的IP地址,防止被目的主机发现,老练的攻击者都会尽 量通过“跳板”或&ld... 09-06-13

  一般步骤如下:

  1.清除iis的日志。

  可不要小看iis的日志功能,它可以详细的记录下你的入侵全过程,如你用unicode入侵 时ie里打的命令,和对80端口扫描时留下的痕迹。

  1. 日志的默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志 。那我们就切换到这个目录下吧,然后 del *.*。但由于w3svc服务还开着,日志依然还在 。

  方法一: 如有3389可以登录,那就用notepad打开,按ctrl+a 然后del吧。

  方法二: net 命令

  c:\>net stop w3svc

  world wide web publishing service 服务正在停止。(可能会等很长的时间,也可能 不成功)

  world wide web publishing service 服务已成功停止。

  选择先让w3svc停止,再清除日志,不要忘了再重新打开w3svc服务。

  c:\>net start w3svc

  2. 清除ftp日志

  ftp日志默认位置:%systemroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日 志,清除方法同上。

  3. 清除scheduler日志

  scheduler服务日志默认位置:%systemroot%\schedlgu.txt。清除方法同上。

  4. 应用程序日志、安全日志、系统日志、dns日志默认位置:%systemroot%\sys tem32\config 。清除方法同上。

  注意以上三个目录可能不在上面的位置,那是因为管理员做了修改。可以读取注册表值 得到他们的位置:

  应用程序日志,安全日志,系统日志,dns服务器日志,它们这些log文件在注册表中的

  hkey_local_machine\sys tem\currentcontrolset\services\eventlog

  schedluler服务日志在注册表中的

  hkey_local_machine\software\microsoft\schedulingagent

  5.清除安全日志和系统日志了,守护这些日志的服务是event log,试着停掉它!

  d:\server\system32\logfiles\w3svc1>net stop eventlog

  这项服务无法接受请求的 "暂停" 或 "停止" 操作。没办法,它是关键服务。如果不用 第三方工具,在命令行上根本没有删除安全日志和系统日志的可能!打开“控制面板”的“ 管理工具”中的“事件查看器”,在菜单的“操作”项有一个名为“连接到另一台计算机” 的菜单,点击它然后输入远程计算机的ip,然后选择远程计算机的安全性日志,右键选择它 的属性,点击属性里的“清除日志”按钮,同样的方法去清除系统日志!

  6.上面大部分重要的日志你都已经清除了。然后要做的就是以防万一还有遗漏的了。

  del以下的一些文件:

  \winnt\*.log

  system32下

  \logfiles\*.*

  \dtclog\*.*

  \config\*.evt

  \*.log

  \*.txt

123456

(0)

相关文章:

版权声明:本文内容由互联网用户贡献,该文观点仅代表作者本人。本站仅提供信息存储服务,不拥有所有权,不承担相关法律责任。 如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 2386932994@qq.com 举报,一经查实将立刻删除。

发表评论

验证码:
最近更新的文章
推荐阅读
大家感兴趣的文章
Copyright © 2017-2025  代码网 保留所有权利. 粤ICP备2024248653号
站长QQ:2386932994 | 联系邮箱:2386932994@qq.com