手工清除服务器日志

在入侵过程中，远程主机的Windows系统会对入侵者的登录、注销、连接，甚至复制文件等操作都进行记录，并把这些记录保存到日志文件中。在这些日志文件中，记录着入侵者登录所用的账号，以及入侵者的IP地址等信息。入侵者可以通过多种途径来擦除入侵留下的痕迹，其中手段之一就是用服务器日志进行手动清除。

具体的操作步骤如下。

步骤1：先使用管理员账号与远程主机建立IPC$连接，在远程主机的控制面板窗口中双击管理工具图标，即可打开管理工具窗口。双击计算机管理图标项，即可打开计算机管理窗口。

步骤2：在其右边列表中展开计算机管理（本地）→系统工具→事件查看器选项，即可打开事件日志窗格，如图8-35所示。其中的事件日志分为 "应用程序"日志、"安全性"日志及"系统"日志3种，这3种日志分别记录了不同种类的事件。 

步骤3：用鼠标右键单击要删除的日志文件，在弹出的快捷菜单中选择清除命令，即可清除选中的日志。如果想彻底删除日志文件，则可以在计算机管理窗口的左窗格中展开计算机管理（本地）→服务和应用程序→服务选项，再在其右窗格中用鼠标右健单击Event Log服务，在弹出的快捷菜单中选择属性命令，在打开的属性对话框中把该服务禁用，如图8-36所示。

（大图）图8-35 计算机管理窗口中的事件记录窗格 

（大图）图8-36  禁用"Event Log"服务 

此后，用户只要重新启动系统，该主机/服务器就不会对任何操作进行日志记录了。

利用Windows 2003服务器的远程维护功能，并通过IE浏览界面，就能对服务器的日志文件进行远程查看了，不过默认状态下，Windows 2003服务器的远程维护功能并没有开通，需要手工启动。

查看服务器日志文件的作用

　　网站服务器日志记录了web服务器接收处理请求以及运行时错误等各种原始信息。通 过对日志进行统计、分析、综合，就能有效地掌握服务器的运行状况，发现和排除错误原 因、了解客户访问分布等，更好的加强系统的维护和管理。

　　对于自己有服务器的朋友或是有条件可以看到服务器日志文件的朋友来说，无疑是了 解搜索引擎工作原理和搜索引擎对网页抓取频率的最佳途径。

　　通过这个文件，您可以了解什么搜索引擎、什么时间、抓取了哪些页面，以及可以知 道是主搜索蜘蛛还是从搜索蜘蛛抓取了您的网站等的信息。

　　访问原理

　　1、客户端（浏览器）和Web服务器建立TCP连接，连接建立以后，向Web服务器发出 访问请求（如：Get），根据HTTP协议该请求中包含了客户端的IP地址、浏览器类型、 请求的URL等一系列信息。

　　2、Web服务器收到请求后，将客户端要求的页面内容返回到客户端。如果出现错误，那么返回错误代码。

　　3、服务器端将访问信息和错误信息纪录到日志文件里。

　　下面我们就对本公司自己服务器其中的一个日志文件进行分析。由于文件比较长，所以我们只拿出典型的几种情况来说明。

　　#Software: Microsoft Internet Information Services 60

　　#Version: 10

　　#Date: 2006-05-12 03:56:30

　　#Fields:

date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port

cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status

　　2006-05-12

03:56:30 三圆三圆三圆 2182592169 GET / - 80 - 2201811898

Baiduspider+(+http://wwwbaiducom/search/spiderhtm) 403 14 5

　　/ 说明 /

　　上面定义了在2006年5月12日的3点56分30秒的时候，IP为2201811898的百度蜘蛛通过80端口（HTTP）访问了IP为2182592169的服务器的根目录，但被拒绝。

　　#Software: Microsoft Internet Information Services 60

　　#Version: 10

　　#Date: 2006-05-12 10:18:39

　　#Fields:

date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port

cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status

　　2006-05-12

10:33:36 三圆三圆三圆 2182592169 GET //indexhtm - 80 - 102576

Mozilla/40+(compatible;+MSIE+60;+Windows+NT+51;+SV1) 200 0 0

　　2006-05-12

10:33:36 三圆三圆三圆 2182592169 GET ///gif - 80 - 102576

Mozilla/40+(compatible;+MSIE+60;+Windows+NT+51;+SV1) 200 0 0

　　/ 说明 /

　　上面定义了在2006年5月12日的10点33分36秒的时候，IP为102576的用户正常访问了网站三圆三圆三圆中目录下的indexhtm页和/下的。gif。

　　#Software: Microsoft Internet Information Services 60

　　#Version: 10

　　#Date: 2006-05-12 13:17:46

　　#Fields:

date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port

cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status

　　2006-05-12

13:17:46 三圆三圆三圆 2182592169 GET /robotstxt - 80 - 662496672

Mozilla/50+(compatible;+Googlebot/21;++http://wwwgooglecom/bothtml)

404 0 2

　　2006-05-12 13:17:46 三圆三圆三圆 2182592169 GET / - 80 -

662496672

Mozilla/50+(compatible;+Googlebot/21;++http://wwwgooglecom/bothtml)

403 14 5

　　/ 说明 /

　　上面定义了在2006年5月12日的13点17分46秒的时候，IP为662496672的Google蜘蛛访问了robotstxt文件，但没有找到此文件，有访问了此网站的根目 录，但被拒绝。

　　现在也有很多日志分析工具，如果您的服务器流量很大的话，作者推荐使用分析工具来分析服务器日志。

#!/bin/bash

for i in {0112}

do

echo "=======HTTP LOG From Host Portal$i=========" >> /tem/http_logs

ssh root@portal$ieacom 'cat /var/log/httpd/http_accesslog' >> /tem/http_logs

done

日志服务器是专门供一些服务器，设备在运行过程中产生的使用记录及硬件状态的一个集中反应的数据存储的地方就是日志服务器，用户可以根据需要做数据的查询统计等工作，及时了解各部分设备的运行状态。可以是通用的，也可以是专用的。

scp是有Security的文件copy，基于ssh登录。操作起来比较方便，比如要把当前一个文件copy到远程另外一台主机上，可以如下命令。

scp /home/daisy/fulltargz root@17219275:/home/root

然后会提示你输入另外那台17219275主机的root用户的登录密码，接着就开始copy了。

如果想反过来操作，把文件从远程主机copy到当前系统，也很简单。

scp root@17219275:/home/root /home/daisy/targz