入侵網路以後如何抹除痕跡

A. 如何清楚入侵痕跡

清除入侵時留下的痕跡最好用文件覆蓋Log文件.(絕對無法恢復)

B. 入侵網站以後對痕跡如何清理

清除某些日誌，如果你還想在入侵的話就不要把所有的日誌都清除

C. 急,如何清除網路痕跡

網路的痕跡是這樣清除的
你先用滑鼠選到你的
搜索痕跡
然後按
Delete鍵
這樣就清除了
登陸的網站是這樣清除的
打開IE的屬性
點下那個
清除歷史記錄
就可以了

D. 怎麼樣隱藏自己的入侵痕跡啊

攻擊者在獲得系統最高管理員許可權之後就可以隨意修改系統上的文件了(只對常規 Unix系統而言)，包括日誌文件，所以一般黑客想要隱藏自己的蹤跡的話，就會對日誌進行修改。最簡單的方法當然就是刪除日誌文件了，但這樣做雖然避免了系統管理員根據IP追蹤到自己，但也明確無誤地告訴了管理員，系統己經被人侵了。所以最常用的辦法是只對日誌文件中有關自己的那一部分做修改。關於修改方法的具體細節根據不同的操作系統有所區別，網路上有許多此類功能的程序，例如 zap、 wipe等，其主要做法就是清除 utmp、wtmp、Lastlog和 Pacct等日誌文件中某一用戶的信息，使得當使用w、who、last等命令查看日誌文件時，隱藏掉此用戶的信息。管理員想要避免日誌系統被黑客修改，應該採取一定的措施，例如用列印機實時記錄網路日誌信息。但這樣做也有弊端，黑客一旦了解到你的做法就會不停地向日誌里寫入無用的信息，使得列印機不停地列印日誌，直到所有的紙用光為止。所以比較好的避免日誌被修改的辦法是把所有日誌文件發送到一台比較安全的主機上，即使用loghost。即使是這樣也不能完全避免日誌被修改的可能性，因為黑客既然能攻入這台主機，也很可能攻入loghost。只修改日誌是不夠的，因為百密必有一漏，即使自認為修改了所有的日誌，仍然會留下一些蛛絲馬跡的。例如安裝了某些後門程序，運行後也可能被管理員發現。所以，黑客高手可以通過替換一些系統程序的方法來進一步隱藏蹤跡。這種用來替換正常系統程序的黑客程序叫做rootkit，這類程序在一些黑客網站可以找到，比較常見的有LinuxRootKit，現在已經發展到了5.0版本了。它可以替換系統的ls、ps、netstat、inetd等等一系列重要的系統程序，當替換了ls後，就可以隱藏指定的文件，使得管理員在使用ls命令時無法看到這些文件，從而達到隱藏自己的目的。一般黑客都會在攻入系統後不只一次地進入該系統。為了下次再進入系統時方便一點，黑客會留下一個後門，特洛伊木馬就是後門的最好範例。Unix中留後門的方法有很多種，下面介紹幾種常見的後門，供網路管理員參考防範。這是入侵者使用的最早也是最老的方法，它不僅可以獲得對Unix機器的訪問，而且可 以通過破解密碼製造後門。這就是破解口令薄弱的帳號。以後即使管理員封了入侵者的當前帳號，這些新的帳號仍然可能是重新侵入的後門。多數情況下，入侵者尋找口令薄弱的未使用帳號，然後將口令改的難些。當管理員尋找口令薄弱的帳號是，也不會發現這些密碼已修改的帳號。因而管理員很難確定查封哪個帳號。在連網的Unix機器中，象Rsh和Rlogin這樣的服務是基於rhosts文件里的主機名使用簡 單的認證方法。用戶可以輕易的改變設置而不需口令就能進入。 入侵者只要向可以訪問的某用戶的rhosts文件中輸入"+ +"，就可以允許任何人從任何地方無須口令便能進 入這個帳號。特別當home目錄通過NFS向外共享時，入侵者更熱中於此。這些帳號也成 了入侵者再次侵入的後門。許多人更喜歡使用Rsh，因為它通常缺少日誌能力. 許多管理員經常檢查 "+ +"，所以入侵者實際上多設置來自網上的另一個帳號的主機名和 用戶名，從而不易被發現。早期，許多入侵者用自己的trojan程序替代二進制文件。系統管理員便依靠時間戳和系 統校驗和的程序辨別一個二進制文件是否已被改變，如Unix里的sum程序。入侵者又發展了使trojan文件和原文件時間戳同步的新技術。它是這樣實現的: 先將系統時鍾撥 回到原文件時間，然後調整trojan文件的時間為系統時間。一旦二進制trojan文件與 原來的精確同步，就可以把系統時間設回當前時間。Sum程序是基於CRC校驗，很容易 騙過。入侵者設計出了可以將trojan的校驗和調整到原文件的校驗和的程序。MD5是被 大多數人推薦的，MD5使用的演算法目前還沒人能騙過。在Unix里，login程序通常用來對telnet來的用戶進行口令驗證. 入侵者獲取login.c的 原代碼並修改，使它在比較輸入口令與存儲口令時先檢查後門口令。如果用戶敲入後門 口令，它將忽視管理員設置的口令讓你長驅直入。這將允許入侵者進入任何帳號，甚至 是root。由於後門口令是在用戶真實登錄並被日誌記錄到utmp和wtmp前產生一個訪問 的，所以入侵者可以登錄獲取shell卻不會暴露該帳號。管理員注意到這種後門後，便 用"strings"命令搜索login程序以尋找文本信息. 許多情況下後門口令會原形畢露。入侵者就開始加密或者更好的隱藏口令，使strings命令失效. 所以更多的管理員是 用MD5校驗和檢測這種後門的。

E. 怎樣刪除網路痕跡

在瀏覽器上面--工具---IE選項--常規----在下面可以看到退出是刪除瀏覽記錄---打勾即可

F. 請問黑客在入侵別人電腦後，如何清除自己留下的痕跡

按ctrl+alt+delete可以看到黑客軟體；用款軟體「柳葉擦眼」可以清除黑客軟體。

G. 今天在網吧測試了下，通過1433埠成功的入侵了網吧的伺服器，請問該如何清理痕跡，知道的朋友給說說

呵呵，你是暴力破解還是社會工程學啊。。

擦出痕跡，有專門軟體。

以下辦法也可以。
**************************************
一:開始 - 程序 - 管理工具 - 計算機管理 - 系統工具 -事件查看器，然後清除日誌。

二: Windows2000的日誌文件通常有應用程序日誌，安全日誌、系統日誌、DNS伺服器日誌、FTP日誌、WWW日誌等等。

日誌文件默認位置：

應用程序日誌、安全日誌、系統日誌、DNS日誌默認位置：%sys temroot%\system32\config，默認文件大小512KB，管理員都會改變這個默認大小。

安全日誌文件：%systemroot%\system32\config\SecEvent.EVT；

系統日誌文件：%systemroot%\system32\config\SysEvent.EVT；

應用程序日誌文件：%systemroot%\system32\config\AppEvent.EVT；

Internet信息服務FTP日誌默認位置：%systemroot%\system32\logfiles\msftpsvc1\，默認每天一個日誌；

Internet信息服務WWW日誌默認位置：%systemroot%\system32\logfiles\w3svc1\，默認每天一個日誌；

Scheler服務日誌默認位置：%sys temroot%\schedlgu.txt；

以上日誌在注冊表裡的鍵：

應用程序日誌，安全日誌，系統日誌，DNS伺服器日誌，它們這些LOG文件在注冊表中的：

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog

有的管理員很可能將這些日誌重定位。其中EVENTLOG下面有很多的子表，裡面可查到以上日誌的定位目錄。

Schedluler服務日誌在注冊表中

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchelingAgent

FTP和WWW日誌詳解：

FTP日誌和WWW日誌默認情況，每天生成一個日誌文件，包含了該日的一切記錄，文件名通常為ex（年份）（月份）（日期），例如ex001023，就是2000年10月23日產生的日誌，用記事本就可直接打開，如下例：

#Software: Microsoft Internet Information Services 5.0（微軟IIS5.0）

#Version: 1.0 （版本1.0）

#Date: 20001023 0315 （服務啟動時間日期）

#Fields: time cip csmethod csuristem scstatus

0315 127.0.0.1 [1]USER administator 331（IP地址為127.0.0.1用戶名為administator試圖登錄）

0318 127.0.0.1 [1]PASS – 530（登錄失敗）

032:04 127.0.0.1 [1]USER nt 331（IP地址為127.0.0.1用戶名為nt的用戶試圖登錄）

032:06 127.0.0.1 [1]PASS – 530（登錄失敗）

032:09 127.0.0.1 [1]USER cyz 331（IP地址為127.0.0.1用戶名為cyz的用戶試圖登錄）

0322 127.0.0.1 [1]PASS – 530（登錄失敗）

0322 127.0.0.1 [1]USER administrator 331（IP地址為127.0.0.1用戶名為administrator試圖登錄）

0324 127.0.0.1 [1]PASS – 230（登錄成功）

0321 127.0.0.1 [1]MKD nt 550（新建目錄失敗）

0325 127.0.0.1 [1]QUIT – 550（退出FTP程序）

從日誌里就能看出IP地址為127.0.0.1的用戶一直試圖登錄系統，換了四次用戶名和密碼才成功，管理員立即就可以得知管理員的入侵時間、IP地址以及探測的用戶名，如上例入侵者最終是用administrator用戶名進入的，那麼就要考慮更換此用戶名的密碼，或者重命名administrator用戶。

WWW日誌：

WWW服務同FTP服務一樣，產生的日誌也是在%sys temroot%\sys tem32\LogFiles\W3SVC1目錄下，默認是每天一個日誌文件，下面是一個典型的WWW日誌文件

#Software: Microsoft Internet Information Services 5.0

#Version: 1.0

#Date: 20001023 03:091

#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)

20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)

20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)

通過分析第六行，可以看出2000年10月23日，IP地址為192.168.1.26的用戶通過訪問IP地址為192.168.1.37機器的80埠，查看了一個頁面iisstart.asp,這位用戶的瀏覽器為compatible;+MSIE+5.0;+Windows+98+DigExt，有經驗的管理員就可通過安全日誌、FTP日誌和WWW日誌來確定入侵者的IP地址以及入侵時間。

既使你刪掉FTP和WWW日誌，但是還是會在系統日誌和安全日誌里記錄下來，但是較好的是只顯示了你的機器名，並沒有你的IP。

屬性里記錄了出現警告的原因，是因為有人試圖用administator用戶名登錄，出現一個錯誤，來源是FTP服務。

這里有兩種圖標：鑰匙（表示成功）和鎖（表示當用戶在做什麼時被系統停止）。接連四個鎖圖標，表示四次失敗審核，事件類型是帳戶登錄和登錄、注銷失敗，日期為2000年10月18日，時間為1002，這就需要重點觀察。

雙點第一個失敗審核事件的，即得到此事件的詳細描述。

經過分析我們可以得知有個CYZ的工作站，用administator用戶名登錄本機，但是因為用戶名未知或密碼錯誤（實際為密碼錯誤）未能成功。另外還有DNS伺服器日誌，不太重要，就此略過（其實是我沒有看過它）。

知道了Windows2000日誌的詳細情況，下面就要學會怎樣刪除這些日誌：

通過上面，得知日誌文件通常有某項服務在後台保護，除了系統日誌、安全日誌、應用程序日誌等等，它們的服務是Windos2000的關鍵進程，而且與注冊表文件在一塊，當Windows2000啟動後，啟動服務來保護這些文件，所以很難刪除，而FTP日誌和WWW日誌以及Scedlgu日誌都是可以輕易地刪除的。首先要取得Admnistrator密碼或Administrators組成員之一，然後Telnet到遠程主機，先來試著刪除FTP日誌：

D:\SERVER>del schedlgu.txt

D:\SERVER\SchedLgU.Txt

進程無法訪問文件，因為另一個程序正在使用此文件。說過了，後台有服務保護，先把服務停掉！

D:\SERVER>net stop "task scheler"

下面的服務依賴於 Task Scheler 服務。停止 Task Scheler 服務也會停止這些服務。

Remote Storage Engine

是否繼續此操作? (Y/N) [N]: y

Remote Storage Engine 服務正在停止....

Remote Storage Engine 服務已成功停止。

Task Scheler 服務正在停止.

Task Scheler 服務已成功停止。

OK，它的服務停掉了，同時也停掉了與它有依賴關系的服務。再來試著刪一下！

D:\SERVER>del schedlgu.txt

D:\SERVER>

沒有反應？成功了！下一個是FTP日誌和WWW日誌，原理都是一樣，先停掉相關服務，然後再刪日誌！

D:\SERVER\system32\LogFiles\MSFTPSVC1>del ex*.log

D:\SERVER\system32\LogFiles\MSFTPSVC1>

以上操作成功刪除FTP日誌！再來WWW日誌！

D:\SERVER\system32\LogFiles\W3SVC1>del ex*.log

D:\SERVER\system32\LogFiles\W3SVC1>

OK！恭喜，現在簡單的日誌都已成功刪除。下面就是很難的安全日誌和系統日誌了，守護這些日誌的服務是Event Log，試著停掉它！

D:\SERVER\system32\LogFiles\W3SVC1>net stop eventlog

這項服務無法接受請求的 "暫停" 或 "停止" 操作。沒辦法，它是關鍵服務。如果不用第三方工具，在命令行上根本沒有刪除安全日誌和系統日誌的可能！所以還是得用雖然簡單但是速度慢得死機的辦法：打開「控制面板」的「管理工具」中的「事件查看器」（98沒有，知道用Win2k的好處了吧），在菜單的「操作」項有一個名為「連接到另一台計算機」的菜單，點擊它，輸入遠程計算機的IP，然後等上數十分鍾，接著選擇遠程計算機的安全性日誌，右鍵選擇它的屬性：點擊屬性里的「清除日誌」按鈕，OK！安全日誌清除完畢！同樣的忍受痛苦去清除系統日誌！ 目前在不藉助第三工具的情況下，能很快，很順利地清除FTP、WWW還有Schedlgu日誌，就是系統日誌和安全日誌屬於Windows2000的嚴密守護，只能用本地的事件查看器來打開它，因為在圖形界面下，加之網速又慢，如果你銀子多，時間閑，還是可以清除它的。綜上所述，介紹了Windows2000的日誌文件以及刪除方法，但是你必須是Administrator，注意必須作為管理員或管理組的成員登錄才能打開安全日誌記錄。該過程適用於 Windows 2000 Professional 計算機，也適用於作為獨立伺服器或成員伺服器運行的 Windows 2000 Server 計算機。