오늘 한 PC 방에서 테스트한 결과 포트 1433 을 통해 PC 방 서버를 성공적으로 침범했다. 흔적을 어떻게 치우는지 친구가 아는 게 있으면 알려주세요.

흔적을 지우고 전용 소프트웨어가 있습니다.

다음 방법도 가능합니다.

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

1: 시작-프로그램-관리 도구-컴퓨터 관리-시스템 도구-이벤트 뷰어, 로그 지우기.

둘째, Windows2000 로그 파일에는 일반적으로 어플리케이션 로그, 보안 로그, 시스템 로그, DNS 서버 로그, FTP 로그, WWW 로그 등이 포함됩니다.

로그 파일의 기본 위치:

애플리케이션 로그, 보안 로그, 시스템 로그 및 DNS 로그의 기본 위치는 %sys temroot%\system32\config 이고 기본 파일 크기는 5 12KB 이며 관리자가 변경할 수 있습니다.

보안 로그 파일:% systemroot% \ system32 \ config \ secevent.evt;

시스템 로그 파일:% systemroot% \ system32 \ config \ sysevent.evt.

응용 프로그램 로그 파일:% systemroot% \ system32 \ config \ appevent.evt.

인터넷 정보 서비스 FTP 로그 기본 위치:% systemroot% \ system32 \ log files \ msftpsvc1\, 기본적으로 하루 1 회 로그.

인터넷 정보 서비스 WWW 로그의 기본 위치는% systemroot% \ system32 \ logfiles \ w3svc1\, 기본적으로 하루 1 개의 로그입니다.

스케줄러 서비스 로그의 기본 위치:% systemroot% \ schedlgu.txt

레지스트리에서 위의 로그에 대한 항목:

애플리케이션 로그, 보안 로그, 시스템 로그, DNS 서버 로그 및 해당 로그 파일이 레지스트리에 있습니다.

Hkey _ local _ machine \ system \ current control set \ services \ eventlog

일부 관리자는 이러한 로그를 재배치할 수 있습니다. 여기서 EVENTLOG 아래에는 위 로그의 위치 디렉토리를 찾을 수 있는 하위 테이블이 많이 있습니다.

스케줄러 서비스 로그는 레지스트리에 있습니다.

Hkey _ local _ machine \ software \ Microsoft \ scheduling agent

FTP 및 WWW 로그에 대한 자세한 설명:

기본적으로 FTP 로그와 WWW 로그는 매일 오늘의 모든 레코드를 포함하는 로그 파일을 생성합니다. 파일 이름은 일반적으로 ex (년) (월) (일) 입니다. 예를 들어 ex00 1023 은 2000 년 6 월 23 일에 생성된 로그입니다. 다음 예와 같이 메모장을 사용하여 직접 열 수 있습니다.

# 소프트웨어: Microsoft 인터넷 정보 서비스 5.0 (Microsoft IIS5.0)

# 버전: 1.0 (버전 1.0)

# 날짜: 2000 1023 03 15 (서비스 시작 날짜)

# fields: timecip cs method csuristem scstatus

0315 127. 0. 0. 1 [1] 사용자 관리자 331

0318127.0.0.1[1] pass–530 (로그인 실패)

032: 04 127. 0. 0. 1 [1] 사용자 nt 33 1(IP 주소는/

032: 06127.0.0.1[1] pass-530 (로그인 실패).

032: 09 127. 0. 0. 1 [1] 사용자 cyz 33 1(IP 주소

0322127.0.0.1[1] pass–530 (로그인 실패).

0322 127. 0. 0. 1 [1] 사용자 관리자 33 1 (IP 주소는/kloc/

0324127.0.0.1[1] pass–230 (로그인 성공).

0321127.0.0.1[1] mkdnt 550 (디렉터리 생성 실패)

0325127.0.0.1[1] 종료–550 (FTP 프로그램 종료)

로그에서 알 수 있듯이 IP 주소가 127.0.0. 1 인 사용자는 시스템에 로그인을 시도하고 있으며 사용자 이름과 비밀번호를 네 번 변경해야만 성공할 수 있습니다. 관리자는 침입 시간, IP 주소 및 감지된 관리자 사용자 이름을 즉시 알 수 있습니다. 위의 예에서 침입자는 결국 관리자 사용자 이름으로 들어왔기 때문에 이 사용자 이름의 비밀번호를 수정하거나 관리자 사용자의 이름을 바꾸는 것을 고려해야 합니다.

WWW 로그:

WWW 서비스는 FTP 서비스와 마찬가지로% systemroot% \ system32 \ logfiles \ w3svc1디렉토리에 로그를 생성합니다. 기본적으로 매일 로그 파일입니다. 다음은 일반적인 WWW 로그 파일입니다.

# 소프트웨어: Microsoft 인터넷 정보 서비스 5.0

# 버전: 1.0

# 날짜: 2000 1023 03:09 1

# fields: datetimecipcs username sipsport cs method cs uri stem cs uri query scstatus cs (사용자 에이전트)

20001023 03: 091192.168.1.. +msie+5.0; +windows+98; +DigExt)

20001023 03: 094192.168.1.26/kloc-; +msie+5.0; +windows+98; +DigExt)

여섯 번째 줄을 분석하면 2000 년 10 월 23 일 IP 주소가192.168.1.임을 알 수 있습니다. +msie+5.0; +Windows+98+DigExt, 숙련된 관리자는 보안 로그, FTP 로그, WWW 로그를 통해 침입자의 IP 주소와 침입 시간을 확인할 수 있습니다.

FTP 와 WWW 로그를 삭제해도 시스템 로그와 보안 로그에 기록되지만 IP 가 아닌 시스템 이름만 표시하는 것이 좋습니다.

이 경고의 원인은 속성에 기록됩니다. 누군가가 관리자 사용자 이름으로 로그인을 시도했기 때문에 오류가 발생했고 소스는 FTP 서비스입니다.

키 (성공) 와 잠금 (사용자가 무언가를 할 때 시스템에 의해 중지됨을 나타냄) 의 두 가지 아이콘이 있습니다. 4 개의 평가가 실패했음을 나타내는 4 개의 잠금 아이콘이 연속해서 나타납니다. 이벤트 유형에는 계정 로그인, 로그인 및 로그아웃 실패가 포함됩니다. 날짜는 10,18,2000 이고 시간은 1002 이며 특별한 관찰이 필요합니다.

첫 번째 실패한 감사 이벤트를 두 번 클릭하여 이벤트에 대한 자세한 설명을 확인합니다.

분석을 통해 CYZ 워크스테이션이 관리자 사용자 이름으로 이 컴퓨터에 로그인했지만 사용자 이름을 알 수 없거나 암호가 잘못되었기 때문에 (실제로는 암호가 잘못되었습니다) 실패했음을 알 수 있습니다. DNS 서버 로그도 있습니다. 별로 중요하지 않습니다. 저는 건너뛰었습니다.

Windows2000 로그에 대해 자세히 알아보고 로그를 삭제하는 방법을 배워야 합니다.

위에서 살펴본 바와 같이 시스템 로그, 보안 로그, 애플리케이션 로그 등을 제외한 로그 파일은 일반적으로 백그라운드 서비스로 보호됩니다. 이들의 서비스는 레지스트리 파일과 함께 Windows2000 의 핵심 프로세스입니다. Windows 2000 이 시작되면 이러한 파일을 보호하기 위해 서비스가 시작되므로 삭제하기가 어렵습니다. FTP 로그, WWW 로그 및 Scedlgu 로그는 쉽게 삭제할 수 있습니다. 먼저 관리자 또는 관리자 그룹 구성원의 비밀번호를 받은 다음 텔넷을 원격 호스트에 연결해야 합니다. 먼저 FTP 로그를 삭제해 보십시오.

D: \ server > Del schedlgu.txt

D:\SERVER\SchedLgU 입니다. 텍스트 파일 (textfile)

프로세스가 이 파일에 액세스할 수 없습니다. 다른 프로그램에서 사용 중이기 때문입니다. 내가 말했잖아, 무대 뒤에 서비스 보호가 있어, 먼저 서비스를 중지해!

D: \ server > 네트워크에서 작업 스케쥴러를 중지합니다

다음 서비스는 작업 스케줄러 서비스에 따라 달라집니다. 작업 스케줄러 서비스를 중지하면 이러한 서비스도 중지됩니다.

원격 스토리지 엔진

이 작업을 계속하시겠습니까? (y/n) [n]: Y.

원격 스토리지 엔진 서비스가 중지 중입니다. ....

원격 스토리지 엔진 서비스가 성공적으로 중지되었습니다.

작업 스케줄러 서비스가 중지 중입니다.

작업 스케줄러 서비스가 성공적으로 중지되었습니다.

자, 그 서비스는 멈췄고, 그 서비스에 의존하는 것도 멈췄습니다. 다시 삭제해 보십시오!

D: \ server > Del schedlgu.txt

D: \ server >

응답 없음? 성공했습니다! 다음은 FTP 로그와 WWW 로그입니다. 원리는 같습니다. 먼저 관련 서비스를 중지한 다음 로그를 삭제하십시오!

D: \ server \ system32 \ logfiles \ msftpsvc1> Del ex*. 통나무

D: \ server \ system32 \ logfiles \ msftpsvc1>

위 작업에서 FTP 로그를 성공적으로 삭제했습니다! 다시 WWW 로그로 오세요!

D: \ server \ system32 \ logfiles \ w3svc1> Del ex*. 통나무

D: \ server \ system32 \ logfiles \ w3svc1>

좋아! 축하합니다. 이제 간단한 일지가 성공적으로 삭제되었습니다. 다음은 어려운 보안 로그와 시스템 로그입니다. 이러한 로그를 보호하는 서비스는 이벤트 로그입니다. 막으려고 해!

D: \ server \ system32 \ logfiles \ w3svc1> 네트워크 중지 이벤트 로그

이 서비스는 요청한 "일시 중지" 또는 "중지" 작업을 수락할 수 없습니다. 방법이 없습니다. 핵심 서비스입니다. 타사 도구를 사용하지 않으면 명령줄에서 보안 로그와 시스템 로그를 삭제할 가능성이 없습니다! 그래서 우리는 여전히 간단하지만 느린 방법을 사용해야 합니다. 제어판의 관리 도구에서 이벤트 뷰어 (98 은 사용할 수 없습니다. Win2k 의 이점을 알고 있습니다.) 메뉴의 "동작" 항목에는 "다른 컴퓨터 연결" 이라는 메뉴가 있습니다. 클릭, 원격 컴퓨터의 IP 입력, 그리고 몇 십 분 정도 기다린 후 원격 컴퓨터를 선택하세요. 보안 로그가 지워졌습니다! 같은 고통을 겪고 시스템 로그를 지우십시오! 현재 FTP, WWW, Schedlgu 로그는 세 번째 도구 없이 빠르고 원활하게 지울 수 있습니다. 즉, 시스템 로그와 보안 로그는 Windows2000 에 의해 엄격하게 보호되므로 로컬 이벤트 뷰어로만 열 수 있습니다. 그래픽 인터페이스에서 네트워크 속도가 느리기 때문에 더 많은 돈과 시간이 있다면 지울 수 있습니다. 요약하면, 이 문서에서는 Windows2000 의 로그 파일 및 삭제 방법에 대해 설명합니다. 그러나 관리자여야 하며 보안 로깅을 켜려면 관리자 또는 관리 그룹의 구성원으로 로그인해야 합니다. 이 절차는 독립 실행형 또는 구성원 서버로 실행 중인 Windows 2000 Professional 컴퓨터와 Windows 2000 Server 컴퓨터에 적용됩니다.