清除3389入侵后留下的日志

    我们以前曾介绍了3389（远程桌面）的入侵方法（参见：如何利用远程桌面控制他人电脑），相信菜菜们一定抓了很多3389肉鸡吧。但是3389肉鸡抓完后，菜菜们有没有清除自己留下的痕迹呢？要知道，我们入侵的服务器上可是有日志监控的，从我们开始探测到入侵结束，每个步骤都被记录在服务器的日志中，管理员要得到你入侵时的IP地址很容易。本文就让我们来探讨一下如何清除3389入侵后留下的日志，使得我们能够全身而退。

     记录你入侵行为的日志

     如果我们从一开始打开目标网站开始计算，直到最后入侵结束，会在服务器的哪些地方留下日志呢？以Windows2000为例：

     一.WWW日志，也就是网站日志，位于服务器的%systemroot%\system32\logfiles\w3svc1\目录，默认是每天一个日志，记录游客访问网站时的IP地址、动作以及操作系统版本等信息。如果我们通过SQL注入来猜解网站管理员密码，那么管理员通过对网站日志的检查，很容易就能发现我们的IP地址。

     二.安全日志、系统日志、应用程序日志。在我们入侵成功后，用远程桌面登录到服务器时，安全日志和系统日志就会记录下你的IP地址，同时，如果你在服务器上安装了一些木马程序，日志也会记录下你的相关操作。这三个日志在服务器上的位置分别为：

     安全日志文件：%systemroot%\system32\config\SecEvent.EVT
     系统日志文件：%systemroot%\system32\config\SysEvent.EVT
     应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT

     手工清除日志

     知道了日志文件的位置，我们该如何清除呢？如果你已经通过远程桌面链接上了服务器，那么只要进入到相应的文件夹，删除日志文件即可。我们也可以进入到服务器的控制面板→管理工具→事件查看器，选择相应的日志类型，点击右键，在出现的菜单中选择“清除所有事件”。

图1.“事件查看器”记录着很多日志

     用工具清除日志

     用远程桌面清除日志虽然方便，但有一个缺点：就是当我们断开远程连接时，这个断开事件又会被记录到日志中。这样还是会留下安全隐患，因此我们可以借助于专门的日志删除工具来清除日志。

图2.清除指定IP的日志

     通过“命令提示符”将clear3389.exe上传到服务器，然后输入命令“cleaniislog . 127.0.0.1”并回车，其中127.0.0.1是你入侵时的IP地址，这样工具将会删除服务器上所有包含有127.0.0.1这个IP的日志。

     删除本机上连接日志

     肉鸡上的日志算是清除完成了，但别忘了在自己的电脑上也会留下痕迹。我们在用远程桌面进行连接后，在本机的远程桌面连接的“计算机”栏就会显示最近连接的电脑IP地址，虽然它存在于自己的电脑上，但是万一当警察叔叔找上门来的时候，就比较有用了。

图3.清除本机3389连接记录

     删除的方法为：点击“开始”→“运行”，输入regedit运行“注册表编辑器”，定位到HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default，将右边相应的IP键值删除即可。