文档介绍:入侵日志清除详解入侵日志清除方法 2008-07-28 13:51:51 :互联网 FTP 日志→ FTP 日志和的一切记录, 文件名通常为 ex( 年份)( 月份)( 日期),例如 ex051218 ,就是 2005 年 12月 18 日记录的日志,选用记事本打开方式就可直接打开,如下... FTP 日志→ FTP 日志和的一切记录,文件名通常为 ex (年份) (月份) (日期), 例如 ex051218 , 就是 2005 年 12月 18 日记录的日志, 选用记事本打开方式就可直接打开,如下例: #Software: Microsoft Information Services (微软 ) #Version: (版本 ) #Date: 20051218 0516 (服务启动时间日期) #Fields: time cip csmethod csuristem scstatus 0315 [1]user administator 331 ( IP 地址为 用户名为 administator 试图登录) 0318 [1]pass – 123 (登录失败) 032:04 [1]user new 321 ( IP 地址为 0 用户名为 new 的用户试图登录) 032:06 [1]pass – 123 (登录失败) 032:09 [1]user hack 321 ( IP 地址为 0 用户名为 hack 的用户试图登录) 0322 [1]pass – 123 (登录失败) 0322 [1]user administrators 234 ( IP 地址为 用户名为 administrators 试图登录) 0324 [1]pass – 234 (登录成功) 0321 [1]mkd new 345 (新建目录失败) 0325 [1]qutt – 123 (退出 FTP 程序) 从上面日志记录里能看出来IP 地址为 0 的用户一直试图登录系统,换了 4 次用户名和密码才成功, 可以得知入侵时间、 IP 地址以及探测的用户名,如上例入侵者最终是用 administrators 用户名进入的,那么就要考虑更换此用户名的密码,或者重命名 administrators 用户。 WWW 日志→样,产生的日志也是在%systemroot%\System32\LogFiles\W3SVC1 目录下, 默认日志为每天生成一个日志文件,下面是一个典型的: #Software: Microsoft Information Services #Version: #Date: 20051120 02:081 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) 20051120 02:081 80 GET / 200 Mozilla/+(compatible;+MSIE+;+Windows+98;+DigExt) 20051120 02:085 80 GET / 200 Mozilla/+(compatible;+MSIE+;+Windows+98;+DigExt) 通过分析第六行,可以看出 2000 年 10月 23 日, IP 地址为 的用户通过访问 IP 地址为 机器的 80 端口, 查看了一个页面 , 这 patible;+MSIE+;+Windows+98+DigExt ,有经验的管理员就可通过安全日志、 FTP 日志和 地址以及入侵时间。既使你删掉 FTP 和 WWW 日志, 但是还是会在系统日志和安全日志里记录下来,但是较好的是只显示了你的机器名,并没有你的 IP 学会怎样删除这些日志→通过上面知道了日志的详细情况, 得知日志文件通常有某项服务在后台保护, 除了系统日志、安全日志、应用程序日志等等, 它们的服务是 Win