本文目录一览:
一般所谓的黑客在入侵完电脑后都要删除日志,是哪个日志,怎么打开查看?
1) Scheduler日志
Scheduler服务日志默认位置:2000下: %sys temroot%\schedlgu.txt NTworkstation下为 SchedLog.txt
可以打开schedlgu.txt
Schedluler服务日志在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
先停掉他 net stop "task scheduler" (注意不停是删不掉的)
然后再 del schedlgu.txt 或 schedlog.txt之后就OK了.
del sched*.txt
不过你如果不想删他,也可以改改它. 他的内容是这样的:
" "任务计划程序服务"
已退出于 01-5-22 20:37:34
"任务计划程序服务"
已启动于 01-5-25 7:07:37
"任务计划程序服务"
已启动于 01-5-25 7:26:36
"任务计划程序服务"
已退出于 01-5-25 8:47:54 "
很好改的.
(2) FTP日志
Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志.
格式是这样的 ex*.log .
注意这是一台NT4的LOGFILES下的文件:
这台服务器下管理有多个HTTP或FTP站点
c:\winnt\sys tem32\logfiles 的目录
00-12-04 06:28p .
00-12-04 06:28p ..
01-05-18 12:56p MSFTPSVC1
01-04-23 11:28a MSFTPSVC2
01-01-12 11:56a MSFTPSVC3
01-06-01 08:12a SMTPSVC1
01-09-20 08:55a W3SVC1
01-08-02 10:36a W3SVC10
01-10-11 04:48p W3SVC11
01-07-11 09:16a W3SVC2
01-10-11 10:31a W3SVC3
01-10-10 04:55p W3SVC4
01-09-28 01:43p W3SVC5
01-10-11 08:44a W3SVC6
01-10-11 08:00a W3SVC7
01-09-30 01:49p W3SVC8
01-10-11 08:03a W3SVC9
看看日志文件的格式:
c:\winnt\sys tem32\logfiles\msftpsvc1\in010306.log
192.168.5.8, anonymous, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0,
0, 0, 331, 0, [3]USER, anonymous, -,
192.168.5.8, -, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0, 53
0, 1326, [3]PASS, IE30User@, -,
关于LOG文件的含意我就不解释了,浪费时间,嘿嘿.
法一: 这个时侯 net stop msftpsvc 停掉后台服务.
然后尽管 del 看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START MSFTPSVC 把服务打开.
法二: 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清了,别忘了把时间改回来哦
实际上在得到ADMIN权限后,做这些事很容易.
法三:) 最傻瓜的清FTP日志的方法, cleaniislog 小蓉写的工具,不用我再教了吧!
(3) WWW日志
Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\,默认每天一个日志
注意这是一台NT4的LOGFILES下的文件:
这台服务器下管理有多个HTTP或FTP站点
c:\winnt\sys tem32\logfiles 的目录
00-12-04 06:28p .
00-12-04 06:28p ..
01-05-18 12:56p MSFTPSVC1
01-04-23 11:28a MSFTPSVC2
01-01-12 11:56a MSFTPSVC3
01-06-01 08:12a SMTPSVC1
01-09-20 08:55a W3SVC1
01-08-02 10:36a W3SVC10
01-10-11 04:48p W3SVC11
01-07-11 09:16a W3SVC2
01-10-11 10:31a W3SVC3
01-10-10 04:55p W3SVC4
01-09-28 01:43p W3SVC5
01-10-11 08:44a W3SVC6
01-10-11 08:00a W3SVC7
01-09-30 01:49p W3SVC8
01-10-11 08:03a W3SVC9
w3svc1 下的文件:
网站被黑了。日志怎么查找出来 ?
一般是网站程序有漏洞才会被黑的。看日志是看不出黑客IP的一般都是代理型的IP,我的网站,以前也遇到过网站被黑客黑了,搞得网站流量一下子没了,损失太大了,心情真的没法说了,当时被黑客挂了木马,我把木马代码清除了还是被挂马,文件还被篡改了,木马删都删不掉!没办法 在朋友的推荐下 让我去找sinesafe 听说他们专业做网站安全和服务器安全 ,找到他们后 我把情况详细的介绍了一下,然后他们根据这个情况做了 网站防黑 防挂马的安全方案和服务器安全策略,直至这样公司的网站才恢复,直到现在我的网站再也没被黑过,再也没被挂马过,公司还跟sinesafe签了2年的安全维护合同、。他们的技术真的很厉害 很专业 挺佩服的 省了我不少心。
网站日志怎么看啊?
网站日志在哪里?
因为网站环境分为两种,一种windows服务器,一种是linux服务器,所以网站日志也有所不同。
我们所说的日志通常是指IIS日志,简单易懂。linux主机就是Apache日志,敲代码,比较难懂。
一般的虚拟主机都自带有网站日志下载,打开wwwlogos这里面每天会保存一周的日志。如果是独立服务器的话,由于开启的服务不同,就会有多种情况。
1、Nginx日志文件名称及路径介绍
nginx的log网站日志分为errorlog和accesslog
accesslog记录了用户在什么IP地址、什么时候访问的、用的什么操作系统、通过哪个浏览器、显示器分辨率是多少、访问了你网站的哪个页面,做什么操作,是否访问成功等等信息;
errorlog则是记录服务器错误日志。
2、Apache日志文件名称及路径介绍
Apache的网站日志分别是访问日志access_log(在Windows上是access.log)和错误日志error_log(在Windows上是error.log)。如果使用SSL服务的话,还可能存在ssl_error_log和ssl_access_log和ssl_request_log三种日志文件。
日志文件的路径根据安装方式不同位置也是不一样的,一般都是在Apache安装目录的logs子目录中,日志文件路径可根据实际安装情况在Apache的配置文件中进行查找。
将网站日志下载下来后,打开你会发现,内容跟代码一样,看不懂!
网站日志怎么查看?下面由.top域名给你解答
查看网站日志的方法有两种,第一种比较简单粗暴,用Excel打开网站日志文件,直接查看即可;第二种方式更加适合新手,通过专业的软件查看,将下载到本地的网站日志文件上传至软件中,软件会将重要的信息提取出来以供阅读。常见的网站日志分析软件有:光年日志分析工具、LogHao网站日志在线分析工具等。
windows下如何通过日志查看入侵记录
Windows的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等。
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT;
安全日志文件:%systemroot%\system32\config\SecEvent.EVT;
系统日志文件:%systemroot%\system32\config\SysEvent.EVT;
DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB
Internet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志;
Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志;
Scheduler服务日志默认位置:%sys temroot%\schedlgu.txt;
web服务器被攻击,从哪些日志,或者现象可以看出来?
如果服务器(网站)被入侵了,一般都是服务器或者网站存在漏洞,被黑客利用并提权入侵的,导致服务器中木马,网站被挂黑链,被篡改,被挂马。解决办法:如果程序不是很大,可以自己比对以前程序的备份文件,然后就是修复,或者换个服务器,最好是独立服务器。也可以通过安全公司来解决,国内也就Sinesafe和绿盟等安全公司 比较专业.