如果我们从一开始打开目标网站开始计算,直到最后断开连接,会在服务器的哪些地方留下日志呢?以Windows2000为例:
一.WWW日志,也就是网站日志,位于服务器的%systemroot%system32logfilesw3svc1目录,默认是每天一个日志,记录游客访问网站时的IP地址、动作以及操作系统版本等信息。如果我们通过SQL注入来猜解网站管理员密码,那么管理员通过对网站日志的检查,很容易就能发现我们的IP地址。
二.安全日志、系统日志、应用程序日志。在我们连接成功后,用远程桌面登录到服务器时,安全日志和系统日志就会记录下你的IP地址,同时,如果你在服务器上安装了一些木马程序,日志也会记录下你的相关操作。这三个日志在服务器上的位置分别为:
安全日志文件:%systemroot%system32configSecEvent.EVT
系统日志文件:%systemroot%system32configSysEvent.EVT
应用程序日志文件:%systemroot%system32configAppEvent.EVT
手工清除日志
知道了日志文件的位置,我们该如何清除呢?如果你已经通过远程桌面链接上了服务器,那么只要进入到相应的文件夹,删除日志文件即可。我们也可以进入到服务器的控制面板→管理工具→事件查看器,选择相应的日志类型,点击右键,在出现的菜单中选择“清除所有事件”。
图1.“事件查看器”记录着很多日志
用工具清除日志
用远程桌面清除日志虽然方便,但有一个缺点:就是当我们断开远程连接时,这个断开事件又会被记录到日志中。这样还是会留下安全隐患,因此我们可以借助于专门的日志删除工具来清除日志(clear3389下载地址:/download/39.html)。
图2.清除指定IP的日志
通过“命令提示符”将clear3389.exe上传到服务器,然后输入命令“cleaniislog .
127.0.0.1”并回车,其中127.0.0.1是你自己的IP地址,这样工具将会删除服务器上所有包含有127.0.0.1这个IP的日志。
删除本机上连接日志
肉鸡上的日志算是清除完成了,但别忘了在自己的电脑上也会留下痕迹。我们在用远程桌面进行连接后,在本机的远程桌面连接的“计算机”栏就会显示最近连接的电脑IP地址,虽然它存在于自己的电脑上,但是清除后对自己比较安全哦。
图3.清除本机3389连接记录
删除的方法为:点击“开始”→“运行”,输入regedit运行“注册表编辑器”,定位到HKEY_CURRENT_USERSoftwareMicrosoftTerminal
Server ClientDefault,将右边相应的IP键值删除即可。
