使用CleanIISLog清除IIS記錄

使用CleanIISLog清除IIS記錄

通過本案例可以學習到：

（1）了解IIS日志相關知識

（2）使用CleanIISLog軟體清除IIS日志

<b>本章介紹的内容隻是為了讓讀者了解黑客攻擊的一般原理和方法，進而加強網絡安全的意識，并非讓讀者真正的成為危害網絡及社會的黑客。由于讀者利用本章介紹的某些方法和工具對網絡或别人的系統造成了危害或嚴重後果，作者不負任何責任。由此帶來的一切法律後果由使用者自負</b>

CleanIISLog是由小榕寫的一個清除IIS LOG記錄的工具，其下載下傳位址為：[url]http://www.netxeyes.com/cleaniislog.zip[/url]，它除了可以直接清除所有的IIS日志外，還可以清除指定的的IP連接配接記錄而保留其他IP記錄；以及當清除成功後，CleanIISLog會在系統日志中将本身的運作記錄清除，CleanIISLog隻能在本地運作，而且必須具有Administrators權限，其用法為：

CleanIISLog &lt;LogFile&gt;|&lt;.&gt; &lt;CleanIP&gt;|&lt;.&gt;

&lt;LogFile&gt;: 指定要處理的日志檔案，如果指定為“.”，則處理所有的日志檔案，如果是處理所有日志檔案，則需要較長時間。

&lt;CleanIP&gt;: 指定要清除的IP記錄，如果指定為“.”，則清除所有的IP記錄。

在前面的案例中，講述了如何利用AIO軟體來清除系統中的日志檔案，AIO清除日志檔案采用的是直接删除。管理者或者安全人員利用恢複軟體可以将被删除的日志記錄恢複，進而從中擷取入侵者的攻擊等日志資訊。本案例則是采用“重寫”或者“替代”方式将一些敏感資訊替換掉，徹底的清除了留在日志檔案中的痕迹。

 打開網站“屬性”。通過“控制台”-“管理工具”-“Internet 資訊服務”打開Internet 資訊服務管理器，從“Internet 資訊服務”依次展開至“網站”-“預設網站”，然後右鍵單擊選擇“屬性”，打開預設網站屬性配置視窗，如圖1所示，其它網站目錄配置進行類似操作即可。

圖1打開預設網站“屬性”配置

 檢視“W3C擴充日志檔案”的儲存位置。在網站“屬性”配置中，如果沒有啟用日志記錄，則在系統中不會記錄IIS的日志，預設是啟用日志記錄。單擊活動日志格式下面的“屬性”按鈕，在彈出的視窗中可以看到日志記錄的儲存位置，如圖2所示，單擊“擴充屬性”可以檢視日志記錄的詳細設定選項。

圖2 檢視W3C擴充日志檔案的儲存位置

&amp;<b>說明</b>

①IIS日志檔案一般是存放于系統目錄的logfiles目錄，例如在WindowsXP以及Windows2003作業系統中，預設日志檔案存放于“C:\WINDOWS\system32\Logfiles\”目錄下，日志檔案夾以“W3SVC”進行命名，如果有多個網站目錄，則會存在多個“W3SVC”目錄。

 檢視日志檔案。如果在IIS配置中啟用了日志記錄，則使用者在通路網站時，系統會自動記錄IIS日志，并生成log檔案。在本案例中直接打開“C:\WINDOWS\system32\Logfiles\W3SVC1\ex071213.log”日志檔案，如圖3所示，其中包含了使用者通路的IP位址，通路的網站檔案等資訊。

圖3 打開日志檔案

 測試CleanIISLog軟體能否正常運作。啟動DOS視窗，并到CleanIISLog.exe軟體所在目錄下，然後輸入“CleanIISLog”指令；如果運作正常則會給出一些幫助資訊，如圖4所示；否則會提示錯誤資訊。

圖4 測試CleanIISLog軟體

<b>J</b><b>技巧</b>

一般DOS的軟體在直接執行時都會給出一定的提示，是以可以直接輸入軟體名稱即可。

 執行清除日志指令。在DOS視窗中輸入以下指令：

CleanIISLog C:\WINDOWS\system32\Logfiles\W3SVC1\ex071213.log 192.168.1.6

其中“C:\WINDOWS\system32\Logfiles\W3SVC1\ex071213.log”為需要清除的日志檔案，“192.168.1.6”為要清除的IP位址。執行成功後，會提示修改了多少處，如圖5所示。如果是需要清除其他字元，則可以将IP位址更換為字元即可。

圖5執行清除日志指令

 打開清除IP位址後的日志檔案。再次打開日志檔案“ex071213.log”，從中可以發現該日志中無“192.168.1.6”IP位址資訊，如圖6所示。

圖6 删除IP位址後的日志檔案

<b>小結</b>

本案例通過CleanIISLog軟體來修改日志檔案中的内容，尤其是清除IP位址以及檔案名稱尤為有用，清除後，日志檔案依然存在，管理者從IIS日志檔案中再也不出入侵者的“蛛絲馬迹”了。

 本文轉自 simeon2005 51CTO部落格，原文連結:

http://blog.51cto.com/simeon/55044