小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。) a+ G& C9 F. L
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。
' l4 E+ f( u5 @7 ^. L/ Y' j' u* d0 t魔力私服,最新魔力宝贝私服技术交流但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号
4 O+ e: j' x' r/ p% g妖城在线论坛—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート# O5 r0 U" |+ m" |4 P# m
经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????* P, Q; ~5 X- u; p8 K' I
后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是妖城在线论坛0 ]; v) S# g. `
通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码. " d6 N8 _6 F& m) ?
再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制
- A0 z. d- t% e% W. Z9 c4 n妖城在线论坛通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏. bbs.mocwww.com: g2 e2 p6 y) h2 N# ]
1 ?7 w+ a& J9 H* e4 u
* k( Z" ]0 V* t4 Z1 ~bbs.mocwww.com下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート+ J* q& G8 h8 ? r+ g2 R
acct 或 pacct,记录每个用户使用的命令记录; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表+ l5 V4 s: D3 L5 x( X7 j( [$ R
access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器; bbs.mocwww.com; o8 r7 d* e& M; O' f
aculog,保存着你拨出去的MODEMS记录;
5 U1 L& q: m8 ~1 Tbbs.mocwww.comlastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录;
/ r# K5 P7 v/ l/ Nloginlog,记录一些不正常的登陆记录;
. x* ~7 E* I3 z" m( v魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表messages,记录输出到系统控制台的记录,另外的信息由syslog来生成; - C% {% l3 ?% |$ D/ D- J/ w3 T
security,记录一些使用UUCP系统企图进入限制范围的事例; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表& e5 v5 V/ a8 r) B# T7 S+ T2 W2 p
sulog,记录使用su命令的记录;
" X$ l# w0 g* u6 T- q魔力私服,最新魔力宝贝私服技术交流utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; ) Y% y8 L l% t( Y" v* x7 R) s
utmpx,UTMP的扩展; 妖城在线论坛$ r. [6 X6 |0 L& G4 j
wtmp,记录用户登录和退出事件;
% Q* M5 x2 [5 K3 p* X( Tbbs.mocwww.comsyslog,最重要的日志文件,使用syslogd守护程序来获得。 妖城在线论坛8 o. U5 m: A# r4 Y. H
日志信息:
0 q" @: h+ [% N3 @魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート c+ i: }/ c$ h; X4 {& C
/dev/klog,一个从UNIX内核接受消息的设备; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート7 }6 i3 r: Z1 I7 l( m' u1 `
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート1 z6 |" z+ c( T& R6 [
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
# T2 Z" A6 \ q. f$ Pbbs.mocwww.comlpd-errs,处理打印机故障信息的日志;
, Q! x3 ^- I4 B! Fbbs.mocwww.comftp日志,执行带-l选项的ftpd能够获得记录功能;
/ f4 Y2 P5 O! D$ ?( b( z; v妖城在线论坛httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
& e m" J1 x( F$ Lbbs.mocwww.comhistory日志,这个文件保存了用户最近输入命令的记录;
! B! N9 w5 g2 c' T9 o' ~魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表vold.log,记录使用外接媒介时遇到的错误记录。
! O% U5 g( J) o$ H9 B+ A妖城在线论坛
m) t, l" k9 t% j; k! }$ V这些信息中都可以被他们进行修改,造成各种查证的障碍魔力私服,最新魔力宝贝私服技术交流9 R! K' t8 F0 O1 J" T& Y
我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了
6 L+ x: I+ g7 N( zbbs.mocwww.com
5 e- w$ a) y+ N7 _妖城在线论坛所以在这和那些准备开F和已经开F的人说: 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表2 B& v$ _ _' L: _
1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F.
( b" l M, ~7 Q8 ~7 g2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
$ t3 t% {9 l8 {. z D妖城在线论坛3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失.
( [* D! r' X& y' w: Y7 n—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表9 z! `2 w! |% _7 b8 y4 ]5 O$ b
5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
! X4 Z3 O& i! s( t) _bbs.mocwww.com魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表' Z. g- S9 V9 C- w1 ]
最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。
6 }( ~8 n S0 O. n% Rbbs.mocwww.com魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表0 \8 a+ F3 y5 R0 e9 f; \/ S
中央喷泉
