首先介紹下日志的默認(rèn)位置,只有我們知道了我們在服務(wù)器上留下的痕跡,才能擦除我們在計算機(jī)中留下的痕跡,而日志就是我們留下痕跡的位置所在.

　　安全日志文件:C:/WINDOWS/system32/config/SecEvent.Evt

　　系統(tǒng)日志文件:C:/WINDOWS/system32/config/SysEvent.Evt

　　應(yīng)用程序日志文件:C:/WINDOWS/system32/config/AppEvent.Evt

　　FTP日志默認(rèn)位置:C:/WINDOWS/system32/Logfiles/MSFTPSVC1

　　WWW日志默認(rèn)位置:C:/WINDOWS/system32/Logfiles/W3SVC1

　　然而這些日志在系統(tǒng)正常運行的時候是不能被刪除的.FTP和WWW服務(wù)可以先把這2個服務(wù)停止掉,然后再刪除日志文件,但是安全,系統(tǒng)和應(yīng)用程序的日志守護(hù)服務(wù)Event Log 是沒有辦法停止的.那么有需要怎么清理呢?

　　因為手工這一步有這種困難不好進(jìn)行.所以我們可以利用工具.這里我給大家講的用到的工具是CL.這個工具可以清理IIS日志.FTP日志`.計劃任務(wù)日志.系統(tǒng)日志.清理服務(wù)日志只需要執(zhí)行

　　CL工具的清理命令

　　清理服務(wù)日志:cl -logfiles 127.0.0.1 (程序自動先把FTP.WWW.Task Scheduler服務(wù)停止再刪除日志,然后再啟動三個服務(wù).)

　　清理系統(tǒng)日志:cl -enentlog all

　　此工具支持遠(yuǎn)程清理,當(dāng)然前提必須是建立了管理員權(quán)限的IPC管理連接.

　　連接命令:net use //ip/ipc$ 密碼/user:用戶名

　　然后用CL -LogFile IP對主機(jī)進(jìn)行遠(yuǎn)程清理了.

　　============================================================================

　　對于IIS日志的清理

　　目前對于網(wǎng)站的入侵方式主要是注入,然后再提權(quán)拿下服務(wù)器，這樣主要的日志痕跡都留在了IIS日志里,所以只需要把我們在IIS日志中的IP地址清楚掉就可以了.這樣清理的話更不會讓對方管理員起疑心.那么真的要我們把IIS服務(wù)停掉,然后用記事本打開日志文件一點一點改嗎?當(dāng)然不是了.只需要使用CleanIISLog工具就可以輕松搞定了.

　　CleanIISLog工具的用法:在CMD中執(zhí)行CleanIISLog . IP地址就可以清楚所有IIS日志中有關(guān)IP的連接記錄了,保留其它IP記錄

　　當(dāng)清楚成功后,CleanIISLog會在系統(tǒng)日志中將本身的運行記錄清楚.如果IIS的日志文件不是默認(rèn)的話,可以執(zhí)行CleanIISLog IIS日志路徑 服務(wù)器IP地址 來指定IIS日志的路徑.注意:此工具只能在本地運行,而且必須具有Administrators權(quán)限.