一、攻击者清除日志的常用伎俩

　　1、Web服务器系统中的日志

　　以Windows Server 2003平台的Web服务器为例，其日志包括：安全日志、系统日志、应用程序日志、WWW日志、FTP日志等。对于前面的三类日志可以通过“开始→运行”输入eventvwr.msc打开事件查看器进行查看，WWW日志和FTP日志以log文件的形式存放在硬盘中。具体来说这些日志对应的目录和文件为：

　　(1).安全日志文件:C:\WINDOWS\system32\config\SecEvent.Evt

　　(2).系统日志文件:C:\WINDOWS\system32\config\SysEvent.Evt

　　(3).应用程序日志文件:C:\WINDOWS\system32\config\AppEvent.Evt

　　(4).FTP日志默认位置:C:\WINDOWS\system32\Logfiles\MSFTPSVC1

　　(5).WWW日志默认位置:C:\WINDOWS\system32\Logfiles\W3SVC1

    
    2、非法清除日志

　　上述这些日志在服务器正常运行的时候是不能被删除的，FTP和WWW日志的删除可以先把这2个服务停止掉，然后再删除日志文件，攻击者一般不会这么做的。系统和应用程序的日志是由守护服务Event Log支持的，而它是没有办法停止的，因而是不能直接删除日志文件的。攻击者在拿下Web服务器后，一般会采用工具进行日志的清除，其使用的工具主要是CL和CleanIISLog。

　　(1).利用CL彻底清除日志

　　这个工具可以彻底清除IIS日志、FTP日志、计划任务日志、系统日志、安全日志等，使用的操作非常简单。

　　在命令下输入“cl -logfiles 127.0.0.1”就可以清除Web服务器与Web和FTP和计划任务相关的日志。其原理就是先把FTP、WWW、Task Scheduler服务停止再删除日志，然后再启动三个服务。(图2)

    
    (2).利用CleanIISLog选择性地清理IIS日志

　　比如攻击者通过Web注入方式拿下服务器，这样他的入侵痕迹(IP地址)都留在了IIS日志里。他们利用该工具只把其在IIS日志中的IP地址进行清除，这样就不会让对方管理员起疑心。

　　在命令中执行“CleanIISLog . IP”就可以清除IIS日志中有关该IP的连接记录同时保留其它IP记录。如果管理做了防范，比如更改了IIS日志的路径，攻击者在确定了日志的路径后，也可以通过该工具进行清除，其操作是，在命令行下执行“CleanIISLog IIS日志路径 IP地址”来清除指定IIS路径的IP记录。(图4)

[1] [2] 下一页