首页 » 系统攻防 » Windows » 浏览内容

windors主机如何查看入侵日志

834 2 发表评论

大家在进入一台服务器以后退出的时候往往需要清理一下入侵记录,

 可是为什么大家要清理记录,还有如果不清理记录管理员或者网警是怎么能够查到的。

这里我就简单的讲解下 网警或者管理员是怎么查到的。

日志文件默认位置  应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%/system32/config

默认文件大小512KB,管理员都会改变这个默认大小。

安全日志文件:%systemroot%/system32/config/SecEvent.EVT

系统日志文件:%systemroot%/system32/config/SysEvent.EVT

应用程序日志文件:%systemroot%/system32/config/AppEvent.EVT

Internet信息服务FTP日志默认位置:%systemroot%/system32/logfiles/msftpsvc1/,默认每天一个日志

Internet信息服务WWW日志默认位置:%systemroot%/system32/logfiles/w3svc1/,默认每天一个日志

Scheduler服务日志默认位置:%systemroot%/schedlgu.txt

以上日志在存在与windors主机的注册表里的键
应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Eventlog有的管理员很可能将这些日志重定位。

其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。

Schedluler服务日志在注册表中

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/SchedulingAgentFTP和WWW日志详解:
FTP日志和WWW日志默认情况,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期),例如ex001023,就是2013年10月23日产生的日志,用记事本就可直接打开,如下例:

从 日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密码才成功,

管理员立即就可以得知管理员的入侵时间、IP地址以及 探测的用户名,

如上例入侵者最终是用administrator用户名进入的,那么就要考虑更换此用户名的密码,或者重命名administrator用 户。

WWW日志
WWW服务同FTP服务一样,产生的日志也是在%systemroot%/System32/LogFiles/W3SVC1目录下,默认是每天一个日志文件,下面是一个典型的WWW日志文件:

通过分析第六行,可以看出2013年10月23日,IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口, 查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt,有经验 的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。

相信大家在看完以上文章,一定会在下次退出服务器之前清理记录的。。~~ 不然小心警察叔叔找你喝茶。

至于怎么清理记录大家可以看前面的文章无影无踪WYWZ控制台彻底清除入侵痕迹http://www.exehack.net/685.html

标签:

评论 共 2 条 (RSS 2.0) 发表 评论

  1. 会员头像 骰宝讯特说道:

    我是新手 哈哈

  2. 会员头像 大菜鸟说道:

    :grin: 基础类的……新手必看呃……

发表评论

  •   没有头像?

关注我们,实时联系

通知公告">更多...

♥如果喜欢本站可以直接点击订阅博客
♥点击此加入晓残博客会员群加入扣群
♥本站免费提供加密解密服务点击解密
♥伙伴们喜欢本站赏个好评呗

关注微信

有偿服务

博客统计

  • 日志总数:477 篇
  • 评论数目:1472 条
  • 标签总数:40 个
  • 页面总数:8 个
  • 分类总数:17 个
  • 友链总数:24 个
  • 建站日期:2011-02-13
  • 运行天数:2123 天
  • 最后更新:2016-12-6

订阅博客

×
订阅图标按钮