小服被入侵,日志文件中登陆信息被篡改
我是一个小F的ADMIN,之前F被恶意攻击过几次,造成了一些玩家的流失。魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表% {6 d7 G% q# a
后来通过注册限制、登录器发布限制和加壳等措施,情况有所缓解。
+ `7 l& _8 ]( S3 v7 p; H C3 d妖城在线论坛但是前天上午,我查到一大批在凌晨使用外挂的账号,而个别用户的账号人物居然被删除了,几乎涵盖了所有主要成员???包括我自己的一个小号魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表3 P Y# c' f( e$ `
; F# }+ r- E3 }: Rbbs.mocwww.com经过查证,日志文件中使用者记录中的登陆IP地址都为他们本身常用的几个IP地址,并非别人所为,但是我自己的小号是我是经过操作的,IP等记录却显示为自己????
* R8 _" G0 E" \4 @/ `; P$ W$ |魔力私服,最新魔力宝贝私服技术交流后来和其他F的朋友交流才知道是被攻击了,不但获得了用户账户信息,还可以通过篡改日志文件等方法掩盖掉自己的信息,可能是7 c. \ K, L; B/ Z' W
通过网页,获取数据库的信息,直接暴力破解,获得玩家帐号以及修改密码. : {2 x: r5 n3 U
再通过系统本身,暴力破解LINUX的ROOT权限帐户,利用22 23端口实现远程登陆,进入数据库控制—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート( k/ l) A% l& p9 f M. T2 A
通过对端的了解,从IWEB的后台网站,直接获取LINUX端口信息,制作仿IWEB后台程序, 连接游戏服务器,对游戏内容进行修改,以及破坏. 魔力私服,最新魔力宝贝私服技术交流( s/ [1 J5 H, ~# G+ P- k% T# @
% ?- t, |# c! y) F' X
9 f7 U, z4 t& a8 w7 |( Hbbs.mocwww.com下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
/ w+ R% m9 v6 {, t4 Iacct 或 pacct,记录每个用户使用的命令记录; 魔力私服,最新魔力宝贝私服技术交流8 f1 v! \4 E! t! g6 l7 c# d
access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート) f* B) J( j' F% H$ \ K, d) |4 k% v- ]
aculog,保存着你拨出去的MODEMS记录;
! K& p7 M- O$ s* {* ^& |' w妖城在线论坛lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート; ?9 @ ^3 n C1 J
loginlog,记录一些不正常的登陆记录; bbs.mocwww.com4 x3 D$ f( U0 Q3 V# K, B( K3 B4 H$ }$ I! {. o
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成; 魔力私服,最新魔力宝贝私服技术交流/ } F! s0 L1 Q5 G/ n
security,记录一些使用UUCP系统企图进入限制范围的事例;
8 t4 v N1 K' U; @9 q魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表sulog,记录使用su命令的记录;
/ n9 B( u$ a7 ?+ O1 W& _9 {—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートutmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート- R" S4 o# Q- x1 u& _
utmpx,UTMP的扩展; bbs.mocwww.com4 Q5 _1 S! ?' j d. t+ j. ]1 P1 t
wtmp,记录用户登录和退出事件;
, g5 A7 [0 K+ B0 {$ C" ~- [8 K妖城在线论坛syslog,最重要的日志文件,使用syslogd守护程序来获得。
& \( h% A8 b& }0 C2 {bbs.mocwww.com日志信息:
3 v/ ?" T1 t' S# }, v# y) Jbbs.mocwww.com/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息; 妖城在线论坛' T+ ?2 }% ?8 `8 ?
/dev/klog,一个从UNIX内核接受消息的设备;
; Q3 B! u; z; l" g0 g- R魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息;
' K, f* ~! E6 @/ Y魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机; 妖城在线论坛/ f; |. K5 I1 Y1 s
lpd-errs,处理打印机故障信息的日志; 妖城在线论坛1 m- f" b( j5 O2 s3 [
ftp日志,执行带-l选项的ftpd能够获得记录功能;
+ D. C f/ r# x9 a& }—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートhttpd日志,HTTPD服务器在日志中记录每一个WEB访问记录; y. g- q2 Z2 W, J" B, A% j
history日志,这个文件保存了用户最近输入命令的记录;
+ _8 i9 W0 A2 o' o—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートvold.log,记录使用外接媒介时遇到的错误记录。
M8 m3 f) a& ~4 @; S1 ~) T魔力私服,最新魔力宝贝私服技术交流魔力私服,最新魔力宝贝私服技术交流. `2 O3 G' C0 H+ p C1 @/ f
这些信息中都可以被他们进行修改,造成各种查证的障碍
1 C r- j% K- t: ]1 m魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表我现在没有什么办法能查到正真的攻击者IP,因为日志文件被修改破坏了
, L+ F% M1 v! Z0 t6 Y0 w+ P魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート1 Z7 n* G1 {% A, ?
所以在这和那些准备开F和已经开F的人说:
( C: d; m7 K: c( }. R, Ybbs.mocwww.com1.要赚钱就得稳定,这稳定说起来简单做起来难,如果没有保障玩家的利益,那就请玩家另寻他F.
4 j$ W. ^! P- I% P& a7 d; b0 q妖城在线论坛2.在做必要的防备时,请做好数据备份.万一数据丢失,还有恢复的余地.
! [; S' O- p3 {$ N, l- u妖城在线论坛3.没有任何的措施前,请别把自己的数据公布出去,以免造成不必要的损失. —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート. f3 ]- v: I o! V5 w
4.检查日志文件的完整性,不要完全依赖日志文件,造成不必要的损失。
$ G* Q# G& c" Q魔力私服,最新魔力宝贝私服技术交流5.出现不正常事件,比如丢号、恶意交易、外挂等,应该对事情进行调查后做出处理,不能仅仅依据登陆记录而处理玩家,否则被攻击者随意修改登陆日志,可能造成正常玩家成为替罪羔羊。
- a; k% Z. Y. i6 Mbbs.mocwww.com
8 ~2 m/ p+ f: T! }bbs.mocwww.com最后感谢妖城几位朋友帮忙找出了日志文件被修改的问题。魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表1 v; q. m/ `. f. u, Q
- Y7 e) L% ~4 [妖城在线论坛中央喷泉
