● win 2k下FTP及WWW日志的清除 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: ethanwy (朽木儿), 信区: Microsoft
标题: win 2k下FTP及WWW日志的清除
发信站: 荔园晨风BBS站 (Fri May 10 14:16:19 2002), 转信

　　现在微软的漏洞可谓天下皆知，利用这些漏洞可以很容易的进入一台w2k主机。那么
如何避免80端口下的入侵被检测到呢？我们从最基础的IIS的安全日志入手。
WWW日志默认情况，每天生成一个日志文件，包含了该日的一切记录，文件名通常为ex（
年份）（月份）（日期），例如ex010608，就是2001年6月8日产生的日志，用记事本就
可直接打开，如下例：
#Software: Microsoft Internet Information Services 5.0　　（微软IIS5.0）
#Version: 1.0 （版本1.0）
#Date: 20010608 0315 （服务启动时间日期）
#Fields: time cip csmethod csuristem scstatus
0315 127.0.0.1 [1]USER administator 331　（IP地址为127.0.0.1用户名为administ
ator试图登录）
0318 127.0.0.1 [1]PASS – 530　（登录失败）
0322 127.0.0.1 [1]USER administrator 331　（IP地址为127.0.0.1用户名为adminis
trator试图登录）
0324 127.0.0.1 [1]PASS – 230　（登录成功）
0325 127.0.0.1 [1]QUIT – 550　（退出FTP程序）
从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统，换了两次用户名和密码
才成功，管理员立即就可以得知入侵时间、IP地址以及探测的用户名。
我们的入侵就留下了痕迹！！！通过那段时间的ip就能查到我们的电话，进而找到我们
！！！
毫不犹豫！del ，www日志一般放在winsystem/system32/logfiles/w3svc1的下面。
哈哈！！这时就可放心的删除了！NO...NO...怎么？不让del，是的！有个程序正用日志
文件！怎么办？？（你有足够的权限）net stop w3svc我们先把它的相关服务程序关掉
！然后一切OK。
同理，FTP的日志在：winsystem/system32/logfiles/msftpsvc1下面，它的相关服务程
序是msftpsvc。
这是最基本的清除方法！！大家千万记住！！

--

有人这么说，网上的人，都是孤独的。
我这么说，我是因为上网而孤独了。
他这么说，本来我是孤独的，上网之后更孤独。
她这么说了，我本来很孤独，但是看到其他网人我才感到自己原来不孤独。

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 218.16.44.23]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店