通过本案例可以学习到:
(1)了解AIO软件的相关知识
(2)使用工具软件AIO清除日志
入侵者在攻击过程或者在被控制计算机上执行的一些操作"痕迹"都会或多或少留在系统中,例如通过SQL注入时,如果Web服务器设置了日志记录,则该日志记录文件将会记录入侵的IP地址、时间、操作等信息,通过这些信息可以进行追踪、判断以及还原攻击过程,是入侵者留下的入侵证据,在网络攻防中习惯称为消除痕迹,也有人称之为"擦屁屁"。
本案例通过使用AIO.exe工具软件来清除系统中的所有日志文件。AIO是ALL In One的缩写,它是幻影的多种工具整合,拥有MT的功能,同时还有一些其它功能。AIO中的一个比较实用的功能是使用"AIO -CleanLog"命令来清除系统中的所有日志,该功能主要用来删除在入侵或者操作时被系统软件所记录的日志文件。
说明
AIO是Ph4nt0m众多工具中的一个,Ph4nt0m是一个著名的安全组织,其Blog地址为:http://pstgroup.blogspot.com/,官方站点为:http://www.ph4nt0m.org-a.googlepages.com/,该站点对于国内某些用户可能无法访问,如果无法访问请编辑hosts表"%windir%\system32\drivers\etc\hosts"在该文件中增加一行内容"72.14.219.190 pstgroup.blogspot.com"即可访问。
步骤一 上传并测试AIO.exe软件能否正常运行。AIO功能超越mt.exe,因此有一些杀毒软件会禁止AIO.exe运行。将AIO.exe上传到被控制计算机上,然后直接输入"AIO",如果正常,则会给出相应的使用帮忙提示,如图1所示。
技巧
在取得Shell的情况下,如果不能运行AIO.exe,则可以使用"net start"命令查看系统中的所有服务,找到杀毒软件服务名称,将其关闭即可。
步骤二 执行清除日志命令。输入"AIO -CleanLog"命令后,AIO程序会自动清除系统中的IIS日志、Ftp日志、应用程序日志、安全日志等。清除时,会给出相应的提示。
说明
AIO在清除日志完毕后会提示任务完成(Mission Accomplished),然后在Shell中删除AIO.exe软件,至此已经清除了入侵过程或者在被控制计算机上进行操作的一些日志记录,除非使用一些恢复软件,一般用户是找不到入侵"痕迹"的。