黑客在对目标服务器实施入侵之后,为了防止网络管理员对其进行追踪,往往要删除留下的IP记录和FTP记录,但这种系统日志使用手动的方法很难清除,这时需要借助于其他软件进行清除。在Windows 2003系统中,WWW日志一般都存放在%winsystem% \system32\ logfiles\w3svc1文件夹中,包括WWW日志和FTP日志。
Windows 2003 系统中一些日志存放路径和文件名如下。
安全日志:C:\windows\system\system32\config\Secevent.evt。[审核用户登录情况]
应用程序日志:C:\windows\system\system32\config\AppEvent.evt。[应用程序软件运行情况如ASP.net ASP APACHE 杀毒软件或是mysql等]
系统日志:C:\windows\winsystem\system32\config\SysEvent.evt。[一些服务如DHCP IIS HTTP FTP SMTP 或是磁盘 NFTS等]
IIS的FTP日志:C:\windows\system%\system32\logfiles\msftpsvc1\,默认每天一个日志。
IIS的WWW日志:C:\windows\system\system32\logfiles\w3svc1\,默认每天一个日志。
注册表项目:[HKLM]\system\CurrentControlSet\Services\Eventlog。
Schedluler服务注册表所在项目:[HKLM]\SOFTWARE\Microsoft\SchedulingAgent。
C:\WINDOWS\system32\config\default.sav software.sav system.sav 注册表文件目录
1.清除WWW日志
在IIS中,WWW日志默认的存储位置是C:\windows\system\system32\logfiles\w3svc1\,每天都产生一个新日志。如果管理员对其存放位置进行了修改,则可以运用iis.msc对其进行查看,再通过查看网站的属性来查找到其存放的位置。此时,就可以在命令提示符窗口中通过"del *.*"命令来清除日志文件了。
但这个方法删除不掉当天的日志,这是因为w3svc服务还在运行着。可以用"net stop w3svc"命令把这个服务停止之后,再用"del *.*"命令,就可以清除当天的日志了。
还可以用记事本把日志文件打开,删除其内容之后再进行保存也可以清除日志。最后用"net start w3svc"命令再启动w3svc服务就可以了。
【注意】
删除日志前必须先停止相应的服务,再进行删除。日志删除后务必要记得再打开相应的服务。
2.清除FTP日志
FTP日志的默认存储位置为C:\windows\system\system32\logfiles\w3svc1\,其清除方法和清除WWW日志的方法类似,只是所要停止的服务不同。
清除FTP日志的具体操作步骤如下。
步骤1:在命令提示符窗口中运行"net stop mstfpsvc"命令即可停掉msftpsvc服务。
步骤2:运行"del *.*"命令或找到日志文件,并将其内容删除。
步骤3:最后通过运行"net start msftpsvc"命令,再打开msftpsvc服务即可。
【注意】
也可修改目标计算机中的日志文件,其中WWW日志文件存放在w3svc1文件夹下,FTP日志文件存放在msftpsvc文件夹下,每个日志都是以eX.log为命名的(其中X代表日期)。