WEB开发网
开发学院网络安全安全技术 黑客在入侵后完美清理日志的总结 阅读

黑客在入侵后完美清理日志的总结

 2009-04-04 13:56:57 来源:WEB开发网   
核心提示: #Version: 1.0 (版本1.0)#Date: 20001023 0315 (服务启动时间日期)#Fields: time cip csmethod csuristem scstatus0315 127.0.0.1 [1]USER administator 331(IP地址为127

#Version: 1.0 (版本1.0)

#Date: 20001023 0315 (服务启动时间日期)

#Fields: time cip csmethod csuristem scstatus

0315 127.0.0.1 [1]USER administator 331 (IP地址为127.0.0.1用户名为administator试图登录)

0318 127.0.0.1 [1]PASS – 530 (登录失败)

032:04 127.0.0.1 [1]USER nt 331 (IP地址为127.0.0.1用户名为nt的用户试图登录)

032:06 127.0.0.1 [1]PASS – 530 (登录失败)

032:09 127.0.0.1 [1]USER cyz 331 (IP地址为127.0.0.1用户名为cyz的用户试图登录)

0322 127.0.0.1 [1]PASS – 530 (登录失败)

0322 127.0.0.1 [1]USER administrator 331 (IP地址为127.0.0.1用户名为administrator试图登录)

0324 127.0.0.1 [1]PASS – 230 (登录成功)

0321 127.0.0.1 [1]MKD nt 550 (新建目录失败)

0325 127.0.0.1 [1]QUIT – 550 (退出FTP程序)

从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知管理员的入侵时间、IP地址以及探测的用户名,如上例入侵者最终是用administrator用户名进入的,那么就要考虑更换此用户名的密码,或者重命名administrator用户。

WWW日志:

WWW服务同FTP服务一样,产生的日志也是在%sys temroot%sys tem32LogFilesW3SVC1目录下,默认是每天一个日志文件,下面是一个典型的WWW日志文件

#Software: Microsoft Internet Information Services 5.0

#Version: 1.0

#Date: 20001023 03:091

#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)

上一页  1 2 3 4  下一页

Tags:黑客 入侵 完美

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接