www.zjcoo.com

 　　在服务器上操作了就肯定会留下一些痕迹，那些日志就是这些痕迹，我们要做的也就是找到各个角落里的一些残留，然后把它们都给清楚掉，才能让我们的服务器运转如飞。

　　对于IIS日志的清理

　　目前对于网站的入侵方式主要是注入,然后再提权拿下服务器，这样主要的日志痕迹都留在了IIS日志里,所以只需要把我们在IIS日志中的IP地址清楚掉就可以了.这样清理的话更不会让对方管理员起疑心.那么真的要我们把IIS服务停掉,然后用记事本打开日志文件一点一点改吗?当然不是了.只需要使用CleanIISLog工具就可以轻松搞定了.

　　CleanIISLog工具的用法:在CMD中执行CleanIISLog . IP地址就可以清楚所有IIS日志中有关IP的连接记录了,保留其它IP记录

　　当清楚成功后,CleanIISLog会在系统日志中将本身的运行记录清楚.如果IIS的日志文件不是默认的话,可以执行CleanIISLog IIS日志路径 服务器IP地址 来指定IIS日志的路径.注意:此工具只能在本地运行,而且必须具有Administrators权限.

　　日志的位置：

　　安全日志文件:C:\WINDOWS\system32\config\SecEvent.Evt

　　系统日志文件:C:\WINDOWS\system32\config\SysEvent.Evt

　　应用程序日志文件:C:\WINDOWS\system32\config\AppEvent.Evt

　　FTP日志默认位置:C:\WINDOWS\system32\Logfiles\MSFTPSVC1

　　WWW日志默认位置:C:\WINDOWS\system32\Logfiles\W3SVC1

　　然而这些日志在系统正常运行的时候是不能被删除的.FTP和WWW服务可以先把这2个服务停止掉,然后再删除日志文件,但是安全,系统和应用程序的日志守护服务Event Log 是没有办法停止的.那么有需要怎么清理呢?

　　因为手工这一步有这种困难不好进行.所以我们可以利用工具.这里我给大家讲的用到的工具是CL.这个工具可以清理IIS日志.FTP日志、计划任务日志、系统日志。

　　CL工具的清理命令

　　清理服务日志:cl -logfiles 127.0.0.1 (程序自动先把FTP.WWW.Task Scheduler服务停止再删除日志,然后再启动三个服务.)

　　清理系统日志:cl -enentlog all

　　此工具支持远程清理,当然前提必须是建立了管理员权限的IPC管理连接.

　　连接命令:net use \\ip\ipc$ 密码/user:用户名

　　然后就可以用CL -LogFile IP对主机进行远程清理了。

　　清除过程结束后，你会发现服务器的速度加快了许多，用户是最喜欢这样的网站的，自然我们网站的流量及其他也就不言而喻了。

重庆中技互联网信息咨询有限公司 www.zjcoo.com