www.aorustv.com

 　　在服務(wù)器上操作了就肯定會留下一些痕跡，那些日志就是這些痕跡，我們要做的也就是找到各個角落里的一些殘留，然后把它們都給清楚掉，才能讓我們的服務(wù)器運轉(zhuǎn)如飛。

　　對于IIS日志的清理

　　目前對于網(wǎng)站的入侵方式主要是注入,然后再提權(quán)拿下服務(wù)器，這樣主要的日志痕跡都留在了IIS日志里,所以只需要把我們在IIS日志中的IP地址清楚掉就可以了.這樣清理的話更不會讓對方管理員起疑心.那么真的要我們把IIS服務(wù)停掉,然后用記事本打開日志文件一點一點改嗎?當然不是了.只需要使用CleanIISLog工具就可以輕松搞定了.

　　CleanIISLog工具的用法:在CMD中執(zhí)行CleanIISLog . IP地址就可以清楚所有IIS日志中有關(guān)IP的連接記錄了,保留其它IP記錄

　　當清楚成功后,CleanIISLog會在系統(tǒng)日志中將本身的運行記錄清楚.如果IIS的日志文件不是默認的話,可以執(zhí)行CleanIISLog IIS日志路徑 服務(wù)器IP地址 來指定IIS日志的路徑.注意:此工具只能在本地運行,而且必須具有Administrators權(quán)限.

　　日志的位置：

　　安全日志文件:C:\WINDOWS\system32\config\SecEvent.Evt

　　系統(tǒng)日志文件:C:\WINDOWS\system32\config\SysEvent.Evt

　　應(yīng)用程序日志文件:C:\WINDOWS\system32\config\AppEvent.Evt

　　FTP日志默認位置:C:\WINDOWS\system32\Logfiles\MSFTPSVC1

　　WWW日志默認位置:C:\WINDOWS\system32\Logfiles\W3SVC1

　　然而這些日志在系統(tǒng)正常運行的時候是不能被刪除的.FTP和WWW服務(wù)可以先把這2個服務(wù)停止掉,然后再刪除日志文件,但是安全,系統(tǒng)和應(yīng)用程序的日志守護服務(wù)Event Log 是沒有辦法停止的.那么有需要怎么清理呢?

　　因為手工這一步有這種困難不好進行.所以我們可以利用工具.這里我給大家講的用到的工具是CL.這個工具可以清理IIS日志.FTP日志、計劃任務(wù)日志、系統(tǒng)日志。

　　CL工具的清理命令

　　清理服務(wù)日志:cl -logfiles 127.0.0.1 (程序自動先把FTP.WWW.Task Scheduler服務(wù)停止再刪除日志,然后再啟動三個服務(wù).)

　　清理系統(tǒng)日志:cl -enentlog all

　　此工具支持遠程清理,當然前提必須是建立了管理員權(quán)限的IPC管理連接.

　　連接命令:net use \\ip\ipc$ 密碼/user:用戶名

　　然后就可以用CL -LogFile IP對主機進行遠程清理了。

　　清除過程結(jié)束后，你會發(fā)現(xiàn)服務(wù)器的速度加快了許多，用戶是最喜歡這樣的網(wǎng)站的，自然我們網(wǎng)站的流量及其他也就不言而喻了。

重慶中技互聯(lián)網(wǎng)信息咨詢有限公司 www.aorustv.com