当前位置: 首页 » 网络黑客 » 包含logfiles和黑客的词条

包含logfiles和黑客的词条

作者:hacker 时间:2022-10-24 阅读数:325人阅读

文章栏目:

一般所谓的黑客在入侵完电脑后都要删除日志,是哪个日志,怎么打开查看?

1) Scheduler日志

Scheduler服务日志默认位置:2000下: %sys temroot%\schedlgu.txt NTworkstation下为 SchedLog.txt

可以打开schedlgu.txt

Schedluler服务日志在注册表中

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

先停掉他 net stop "task scheduler" (注意不停是删不掉的)

然后再 del schedlgu.txt 或 schedlog.txt之后就OK了.

del sched*.txt

不过你如果不想删他,也可以改改它. 他的内容是这样的:

" "任务计划程序服务"

已退出于 01-5-22 20:37:34

"任务计划程序服务"

已启动于 01-5-25 7:07:37

"任务计划程序服务"

已启动于 01-5-25 7:26:36

"任务计划程序服务"

已退出于 01-5-25 8:47:54 "

很好改的.

(2) FTP日志

Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志.

格式是这样的 ex*.log .

注意这是一台NT4的LOGFILES下的文件:

这台服务器下管理有多个HTTP或FTP站点

c:\winnt\sys tem32\logfiles 的目录

00-12-04 06:28p .

00-12-04 06:28p ..

01-05-18 12:56p MSFTPSVC1

01-04-23 11:28a MSFTPSVC2

01-01-12 11:56a MSFTPSVC3

01-06-01 08:12a SMTPSVC1

01-09-20 08:55a W3SVC1

01-08-02 10:36a W3SVC10

01-10-11 04:48p W3SVC11

01-07-11 09:16a W3SVC2

01-10-11 10:31a W3SVC3

01-10-10 04:55p W3SVC4

01-09-28 01:43p W3SVC5

01-10-11 08:44a W3SVC6

01-10-11 08:00a W3SVC7

01-09-30 01:49p W3SVC8

01-10-11 08:03a W3SVC9

看看日志文件的格式:

c:\winnt\sys tem32\logfiles\msftpsvc1\in010306.log

192.168.5.8, anonymous, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0,

0, 0, 331, 0, [3]USER, anonymous, -,

192.168.5.8, -, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0, 53

0, 1326, [3]PASS, IE30User@, -,

关于LOG文件的含意我就不解释了,浪费时间,嘿嘿.

法一: 这个时侯 net stop msftpsvc 停掉后台服务.

然后尽管 del 看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START MSFTPSVC 把服务打开.

法二: 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清了,别忘了把时间改回来哦

实际上在得到ADMIN权限后,做这些事很容易.

法三:) 最傻瓜的清FTP日志的方法, cleaniislog 小蓉写的工具,不用我再教了吧!

(3) WWW日志

Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\,默认每天一个日志

注意这是一台NT4的LOGFILES下的文件:

这台服务器下管理有多个HTTP或FTP站点

c:\winnt\sys tem32\logfiles 的目录

00-12-04 06:28p .

00-12-04 06:28p ..

01-05-18 12:56p MSFTPSVC1

01-04-23 11:28a MSFTPSVC2

01-01-12 11:56a MSFTPSVC3

01-06-01 08:12a SMTPSVC1

01-09-20 08:55a W3SVC1

01-08-02 10:36a W3SVC10

01-10-11 04:48p W3SVC11

01-07-11 09:16a W3SVC2

01-10-11 10:31a W3SVC3

01-10-10 04:55p W3SVC4

01-09-28 01:43p W3SVC5

01-10-11 08:44a W3SVC6

01-10-11 08:00a W3SVC7

01-09-30 01:49p W3SVC8

01-10-11 08:03a W3SVC9

w3svc1 下的文件:

iis服务器证书添加为什么丢失

尽管Windows服务器凭借其特有的稳定性,赢得了众多用户的青睐;不过在该服务器中搭建IIS服务器时,IIS服务器的安全并不是无懈可击,这主要是Windows服务器中的IIS组件存在不少安全漏洞,这样一来就很容易招来各种非法攻击,尽管通过安装相关补丁能够及时修复这些安全漏洞,但无奈新漏洞又会层出不穷地出现。为了让IIS服务器变得无懈可击,本文特意为各位准备了以下安全防范招法,相信在这些招法的“保驾护航”下,你的IIS服务器的安全性能一定得到进一步增强。 1、及时删除无效映射 在默认状态下,IIS服务器会自动创建好十几种应用程序的映射关系,可事实上,许多Web网站仅仅用到asp这个应用程序映射,其他应用程序映射几乎没有任何作用;如果你将这些用不着的无效映射保留在IIS服务器中的话,它们可能会给服务器带来安全威胁,因为不少应用程序映射都存在安全漏洞,这些漏洞往往很容易被黑客或非法攻击者利用。为此,笔者建议各位仅将Web网站使用到的几个应用程序映射保留下来,而其他用不着的映射必须及时删除,哪怕以后需要用时再重新添加一次也可以。在删除无效应用程序映射时,你可以按照下面的步骤来操作: 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“主目录”标签; 在接着出现的对应标签页面中,单击“配置”按钮,进入到应用程序映射配置界面;从该界面中,你将看到IIS服务器已经自动创建好十几种应用程序的映射关系了;此时你可以选中某个暂时用不到的应用程序的映射项目,然后单击“删除”按钮,就能把当前选中的映射项目删除掉了。你也可以接着Ctrl、Shift键来同时选中多个无效的应用程序映射项目,然后再单击“删除”按钮,这样就能一次性删除多个无效程序映射项目了。当然,要是你的确需要某个应用程序映射项目时,就必须在系统中安装对应该映射的系统修补补丁,同时打开对应映射项目的编辑窗口,并将该窗口中的“检查文件是否存在”复选项选中;如此一来,日后IIS服务器一旦接受到对应文件请求时,就会自动先检查对应文件是否存在,要是文件的确存在的话,IIS才会去调用映射中事先定义好的动态链接库来解析目标文件。2、取消匿名访问功能 要是允许任何人随意访问IIS服务器的话,那么服务器遭受攻击的可能性就会大大增加;要想尽可能地降低被攻击的风险,对服务器进行限制访问就成为了必然需求。目前限制用户访问最常用的一种方式,就是对用户的身份进行验证,但无奈IIS服务器在默认状态下,会允许匿名访问的;因此在对用户进行身份验证之前,你必须先取消IIS服务器的匿名访问功能: 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“目录安全性”标签;在对应标签页面的“匿名访问和验证控制”设置项处,单击“编辑”按钮,在弹出的设置窗口中,取消“匿名访问”选项的选中状态;接着再选中“集成Windows验证”复选项,再单击一下“确定”按钮就可以了。 3、进行SSL加密验证 大家知道在缺省状态下,SSL服务器是通过http协议以普通明文的方式来传输信息的,黑客或非法攻击者只要通过专业的嗅探器,就能轻易截取传输的帐号或密码,这样就容易给IIS服务器自身带来安全危险。为了阻止黑客或非法攻击者轻易窃取重要的隐私信息,你可以采用下面的方法来对IIS服务器进行SSL加密验证,以便对在IIS服务器中传输的信息进行加密: 要想对IIS服务器进行SSL加密,你首先需要在Windows 2003服务器系统中安装证书服务,而在默认状态下该服务是没有被安装的。在安装证书服务时,你可以依次单击“开始”/“设置”/“控制面板”命令,在其后出现的控制面板窗口中,双击“添加/删除程序”图标,然后单击“添加/删除Windows组件”标签,并在对应的标签页面中,选中“证书服务”选项,单击“下一步”按钮,在接着出现的向导设置窗口中,选中“独立根CA”选项,继续单击“下一步”按钮后,正确设置好CA服务器的名称信息以及使用期限,最后再为证书数据库以及相关日志文件指定好保存路径,就可以完成对证书服务的安装操作了。 接着我们需要对安装在SSL服务器中的目标网站,创建一个请求证书文件。在创建请求证书文件时,必须依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“目录安全性”标签; 在对应标签页面的“安全通信”设置项处,单击一下“服务器证书”按钮,在接着打开的证书创建向导窗口中,单击“下一步”按钮,在随后弹出的设置窗口中,选中“创建一个新证书”选项,继续单击“下一步”按钮,然后将“现在准备请求,但稍候发送”项目选中;当向导窗口出现命名和安全设置提示时,你必须要为新证书正确输入证书名称,同时设置好加密密钥的位长,默认位长为512位;继续单击“下一步”按钮,然后按照提示设置好证书的组织单位、公用名称等信息,再设置好请求证书的保存路径,最后单击“完成”按钮就可以了。完成上面的设置后,你还需要将前面创建好的请求证书文件提交给IIS网站的证书服务器。在将请求证书文件提交给IIS网站的证书服务器时,首先需要将Windows系统目录“system32”下的“CertSrv”子目录,直接复制到目标网站的根目录下;然后在服务器系统中打开IE浏览器窗口,并在其地址栏中输入“/CertSrv/default.asp”URL地址(其中“”为目标网站的网址),在接着出现的证书服务欢迎界面中,单击一下“申请一个证书”链接,并在其后的页面中将证书申请类型设置为“高级证书申请”;接下来在高级证书申请页面中,单击“使用base64编码……”链接,然后把前面创建好的证书请求文件,直接复制到此处的“保存的申请”文本框中,再单击“提交”按钮就能完成证书请求文件的提交任务了。 一旦将请求证书文件提交给证书服务器后,你还需要进行颁发证书操作,才能使证书有效。在颁发证书时,你可以依次单击“开始”/“设置”/“控制面板”命令,在弹出的控制面板窗口中,找到“证书颁发机构”图标,然后用鼠标双击该图标;在接着打开的设置窗口中,将鼠标定位到“挂起的申请”选项上,然后用鼠标右键单击前面申请的证书,在其后弹出的右键菜单中依次单击“所有任务”/“颁发”命令; 等到颁发操作完毕后,再双击刚刚颁发成功的证书,并在证书设置窗口中单击“详细信息”标签,然后在对应标签页面中单击一下“复制到文件”按钮,打开一个文件导出向导界面,根据向导提示设置好导出文件的名称以及保存路径,最后单击一下“完成”按钮。 颁发完服务器证书之后,IIS服务器还没有把SSL加密功能启动起来,你还需要在Internet服务管理器控制台中,对IIS服务器进行进一步配置。在配置时,你必须重新进入到目标网站的“目录安全性”标签页面,再次单击该页面中的“服务器证书”按钮,在随后打开的设置窗口中,将“处理挂起的请求……”项目选中,接着按照向导提示设置好服务器证书文件的存放路径,同时启用SSL默认的“443”端口,再单击“完成”按钮;然后重新返回到“目录安全性”标签页面,单击“安全通信”设置项处的“编辑”按钮,在其后打开的编辑设置窗口中,将“要求安全通信”选项选中,最后单击一下“确定”按钮,这样IIS服务器的SSL加密功能就被正式启用了。日后你想访问目标网站“”时,就必须在IE地址栏中输入“https://”才可以浏览到网站内容,而且你在该网站中提交的任何信息都是被加密之后才传输的,因此网站信息的安全性就会得到大大增强。 4、巧用日志寻找安全隐患 任何对IIS服务器的访问,都会在服务器中留下访问记录,黑客或非法攻击者的访问同样也会在日志文件中留下痕迹;因此,要是我们能活用日志文件,就能及时知道黑客是否对IIS服务器进行了攻击,并且还能知道什么时候进行了攻击;一旦发现有攻击记录时,必须及时采用安全应对措施来阻止黑客的继续攻击。考虑到IIS服务器的日志记录,在默认状态下保存在Windows系统的“system32\logfiles”文件夹中,许多黑客很容易从这里找到原始日志文件,并对该日志文件进行修改,从而抹除其攻击痕迹,这样我们就无法从日志文件中知道IIS服务器是否存在安全隐患。为了阻止黑客随意更改日志记录文件,你可以按照如下步骤来修改日志文件的保存路径: 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“Web站点”标签;在对应的标签页面中,将“启用日志记录”选项选中,同时单击一下“属性”按钮,在随后出现的属性设置框中,你将看到IIS服务器的日志文件默认存放位置为“%Windir%\System32\Logfiles”;此时你可以单击“浏览”按钮,在接着出现的文件夹选择对话框中,选择一个藏匿较深的子文件夹,作为IIS服务器日志文件新的存放位置。此外,为了能让日志文件及时记录黑客攻击行为,你最好在“新日志时间间隔”设置项处,选中“每天”选项;然后在“扩充的属性”标签页面中,你必须指定IIS服务器到底记录哪方面的内容;最后为了防止黑客随意改动日志文件,你还需要返回到系统资源管理器窗口,修改一下目标日志文件的属性,让日志文件只有本地管理员才有权限访问。完成上面的设置后,IIS服务器的日志文件就能发挥应有作用,并能帮助你及时查找到服务器中存在的安全隐患了。 5、限定特定区域主机的来访 要是安装在IIS服务器中的防火墙,总提示你有来自特定区域的某些上网主机,在不断尝试着攻击你的服务器时,你完全可以将这些“可疑”主机全部封杀,以阻止它们对服务器的继续攻击。在封杀这些“可疑”主机时,你可以按照如下步骤来进行: 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“目录安全性”标签; 在对应的标签页面中,单击“IP地址及域名限制”设置项处的“编辑”按钮,在弹出的设置窗口中,你可以选中“授权访问”选项,然后在“以下所列除外”列表处单击“添加”按钮,在其后弹出的“拒绝访问”设置框中,你可以将“一组计算机”选中,接着输入该组区域中的任何一台计算机的IP地址,同时在“子网掩码”处输入该区域的子网掩码,这样你就能将来自“可疑”区域的全部主机都封杀掉了。 要是你只想对单台可疑计算机进行“封杀”的话,那么你可以选中“一台计算机”选项,同时在“IP地址”文本框中直接输入需要封杀的计算机IP地址,最后单击“确定”按钮返回到图7所示的设置窗口中;倘若还想限制其他单台计算机对IIS服务器的访问时,你可以继续单击“添加”按钮,然后继续输入需要限制的计算机IP地址,这样所有出现在“以下所列除外”框中的目标计算机,都没有访问IIS服务器的权限了,而其他计算机都能正常访问IIS服务器。6、巧用内容分级确保访问安全 要是在IIS服务器中发布的网站信息,你不想让所有访问者都能看到的话,那么你可以对发布的网站内容进行分级设置,以便阻止受限用户随意查看目标站点的内容。巧用内容分级功能,你可以轻松限制哪些网站内容可以被授权访问,哪些内容又不能被用户随意访问。要对目标网站进行内容分级的话,可以按照下面的步骤来进行: 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“HTTP头”标签; 在对应的标签页面中,你可以单击“内容分级”设置项处的“编辑分级”按钮,在其后打开的编辑设置窗口中,单击“分级”标签,然后在标签页面中,将“此资源启用分级”复选框选中;下面,在“类别”设置项处,选中一种合适的类别名称,这样对应类别的分级滑块将会自动显示出来,此时你只要移动该滑块,就能改变当前类别的分级级别;完成好上面的设置操作后,再单击一下“确定”按钮,这样就能把前面的设置保存好了,以后浏览者在访问指定类别内容时,就会受到一定的限制了。

黑客入侵后,会清除入侵记录,请问下谁知道清除记录的命令是什么啊?

清除记录的命令:

del C:\winnt\system32\logfiles\*.*

del C:\winnt\system32\config\*.evt

del C:\winnt\system32\dtclog\*.*

del C:\winnt\system32\*.log

del C:\winnt\system32\*.txt

del C:\winnt\*.txt

del C:\winnt\*.log

如何验证自己电脑被黑

1。把网线拔了看看还卡不卡。如果还卡,证明不是被远程控制。

2。如果还卡,证明你中毒了或者有其他原因,垃圾文件,不必要的启动项和服务等。

3。删除sdo用户。

4。用360安全卫士联网查杀木马,清理垃圾、不必要的启动项、服务。用超级兔子清理注册表。

还卡的话建议换Win7吧。下载Win7:

一、查电脑有没有被控制过

控制面板-管理工具-事件查看器,然后你去看看自己的电脑有没有被黑过留下的痕迹。入侵者在入侵并控制系统之前,往往会用扫描工具或者手动扫描的方法来探测系统,以获取更多的信息。

而这种扫描行为都会被系统服务日志记录下来。如,一个 IP 连续多次呈现在系统的各种服务日志中,或一个 IP 连续多次在同一系统多个服务建立了空连接,这很有可能是入侵者在搜集某个服务的版本信息。

二、现在电脑是否被控制

1、按Ctrl +Alt+ Del,打开任务管理器,查看“进程” 里有没有特别的进程,如有结束它。

2、观察任务栏上的两个小电脑图标 ,看它是否持续闪烁,点开观察数据流量,一般被监控的电脑都有大量的数据流量产生。

3、注意一些常用的东西有没有被修改 ,使用 QQ、360、迅雷、网络电视等有无异常 ,如有要马上拨下网线,用查杀木马软件查杀。

三、被黑处理

1、用360安全卫士,查杀。

2、还原或重装系统。

3、如果你用的帐号密码被盗,赶紧修改帐号密码。

四、防止黑客入侵

1、及时360安全卫士、QQ医生、金山毒霸等,更新Windows安全补丁。

2、安装360安全卫士、瑞星杀毒软件、瑞星个人防火墙、金山毒霸、江民、天网等防火墙和反病毒软件,并实时更新病毒库。

3、密码不要太过于简单,建议用户使用位数大于6位、有字母和数字交替组成的复杂密码,可以增加猜中和破解难度,保障您的密码安全。

4、关闭磁盘共享

也就是C、D、E、F、G、H 等 。

开始-运行 输入cmd回车,在cmd输入 net share c$ /delete ( 再把C换D ,依次下去。 也可在我的电脑窗口,右击磁盘盘符,从级联菜单中选”共享”设置关闭磁盘共享。

5、关闭远程访问

右击我的电脑-属性 -远程,去掉“允许远程用户访问此计算机”前面的勾选。

6、关掉一些完全没必要的服务

右键单击“我的电脑(计算机)”-“管理”-“服务和应用程序”-“服务”,在右窗格将不需要的服务设为禁用,将不经常使用的服务设为手动。

7、在使用中注意,不要随便打开来历不明的网站,也不要随便接收来历不明的邮件等;运行可执行文件一定要经过严格的检验,切勿随便打开来历不明的可执行文件。

其实你可以选择最简单的方法,这里有两种:第一是,先下载个流量控制软件(360安全卫士有附带的),在不打开任何软件及没有更新的情况下查看是否有下载和上传流量。如果有的话,那么你中奖了。第二种,你可以打开进程管理器(Ctral+Alt+Del),把所有的应用进程全删了后,停一两秒后首先蹦出的进程及时被黑的程序。

自己电脑被黑:前几天,我的电脑被黑,情况==ie窗口开几十个,而且,关不了;电脑重启后,用windows优化大师==自动恢复(xp系统)处理完毕;我的电脑安装360,没有其它杀毒软件;

观察你的电脑,出现以下状况,基本是是被黑了。被黑后用各种软件杀病毒(注意:不要在电脑上同时安装2个杀毒软件,否则电脑很可能比蜗牛还慢,用一个后卸载,然后安装另一个再查杀)。

  • 评论列表
  •  
    发布于 2022-10-10 05:56:19  回复
  • ”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“HTTP头”标签; 在对应的标签页面中,你可以单击“内容分级”设置项处的“编辑分级”按钮,在其后打开的编辑设

发表评论: