首先介紹下日志的默認位置,只有我們知道了我們在服務器上留下的痕跡,才能擦除我們在計算機中留下的痕跡,而日志就是我們留下痕跡的位置所在.

　　安全日志文件:C:/WINDOWS/system32/config/SecEvent.Evt

　　系統日志文件:C:/WINDOWS/system32/config/SysEvent.Evt

　　應用程序日志文件:C:/WINDOWS/system32/config/AppEvent.Evt

　　FTP日志默認位置:C:/WINDOWS/system32/Logfiles/MSFTPSVC1

　　WWW日志默認位置:C:/WINDOWS/system32/Logfiles/W3SVC1

　　然而這些日志在系統正常運行的時候是不能被刪除的.FTP和WWW服務可以先把這2個服務停止掉,然后再刪除日志文件,但是安全,系統和應用程序的日志守護服務Event Log 是沒有辦法停止的.那么有需要怎么清理呢?

　　因為手工這一步有這種困難不好進行.所以我們可以利用工具.這里我給大家講的用到的工具是CL.這個工具可以清理IIS日志.FTP日志`.計劃任務日志.系統日志.清理服務日志只需要執行

　　CL工具的清理命令

　　清理服務日志:cl -logfiles 127.0.0.1 (程序自動先把FTP.WWW.Task Scheduler服務停止再刪除日志,然后再啟動三個服務.)

　　清理系統日志:cl -enentlog all

　　此工具支持遠程清理,當然前提必須是建立了管理員權限的IPC管理連接.

　　連接命令:net use //ip/ipc$ 密碼/user:用戶名

　　然后用CL -LogFile IP對主機進行遠程清理了.

　　============================================================================

　　對于IIS日志的清理

　　目前對于網站的入侵方式主要是注入,然后再提權拿下服務器，這樣主要的日志痕跡都留在了IIS日志里,所以只需要把我們在IIS日志中的IP地址清楚掉就可以了.這樣清理的話更不會讓對方管理員起疑心.那么真的要我們把IIS服務停掉,然后用記事本打開日志文件一點一點改嗎?當然不是了.只需要使用CleanIISLog工具就可以輕松搞定了.

　　CleanIISLog工具的用法:在CMD中執行CleanIISLog . IP地址就可以清楚所有IIS日志中有關IP的連接記錄了,保留其它IP記錄

　　當清楚成功后,CleanIISLog會在系統日志中將本身的運行記錄清楚.如果IIS的日志文件不是默認的話,可以執行CleanIISLog IIS日志路徑 服務器IP地址 來指定IIS日志的路徑.注意:此工具只能在本地運行,而且必須具有Administrators權限.